Bug Bounty 计划

Previous收不到邮件怎么办?Next关于我们

Last updated 2 days ago

Bug Bounty 计划

我们很高兴宣布推出 Bug Bounty 计划，并鼓励大家积极参与，提交漏洞。

您可以将漏洞信息发送至 bd@safex.trading，我们的团队将迅速审核并验证报告的问题。我们重视您对平台安全的贡献，并将及时与您联系。

Web Bug Bounty

范围

*.safex.trading

奖励金额

严重等级

奖励

低风险

50 至 100 USDT

中风险

100 至 500 USDT

高风险

500 至 1000 USDT

严重

1000 至 5000 USDT

Web 漏洞定义

严重漏洞

严重漏洞指核心业务系统（如核心控制系统、域控制器、业务分发系统和堡垒主机）中存在的漏洞，这些系统管理大量设备。此类漏洞可能造成广泛影响，包括：

未经授权控制业务系统。
获取核心系统的管理权限。
完全控制核心系统。

示例：

控制内部网络中的多个设备。
获取后端超级管理员权限，导致严重后果（如关键企业数据泄露）。
智能合约溢出和竞争条件漏洞。

高风险漏洞

获取系统权限（如 GetShell、命令执行）。
系统 SQL 注入。
未经授权访问敏感信息（如绕过认证、弱密码、SSRF 漏洞）。
任意文件读取。
XXE 漏洞允许访问任何信息。
未经授权的交易或绕过涉及资金的支付逻辑。
严重的逻辑和流程设计缺陷（如任意用户登录漏洞、批量修改账户密码）。
其他对用户影响广泛的漏洞（如重要页面上的存储型 XSS 漏洞）。
大量源代码泄露。
智能合约权限控制缺陷。

中风险漏洞

需要用户交互的漏洞（如存储型 XSS、与核心业务流程相关的 CSRF）。
并行授权操作（如绕过限制修改用户数据）。
拒绝服务（DoS）漏洞。
验证码逻辑缺陷导致敏感操作被暴力破解。
本地敏感认证密钥信息泄露。

低风险漏洞

本地 DoS 漏洞（如客户端崩溃）。
常规信息泄露（如 Web 路径遍历、目录浏览）。
XSS 漏洞（包括 DOM XSS/反射型 XSS）。
常规 CSRF 漏洞。
URL 重定向漏洞。
短信炸弹、邮件炸弹（每个系统仅接受一种类型）。
其他影响较小或无法证明危害的漏洞。

不接受漏洞类型

邮件伪造。
用户枚举漏洞。
Self-XSS 和 HTML 注入。
网页缺少 CSP 和 SRI 安全策略。
非敏感操作的 CSRF 问题。
单个 Android 应用问题（如 android:allowBackup="true"）。
修改图片大小导致请求缓慢等问题。
Nginx 或其他软件的版本泄露。
无安全风险的功能性问题。
对 SAFEX 员工的个人攻击或社会工程。

合约漏洞定义

严重漏洞

任何治理投票结果操纵。
直接窃取用户资金（静态或动态，不包括未申领的收益）。
永久冻结资金。
矿工可提取价值（MEV）。
协议资不抵债。

高风险漏洞

窃取未申领的收益或版税。
永久冻结未申领的收益或版税。
暂时冻结资金。

中风险漏洞

智能合约因缺乏代币资金而无法运行。
为盈利而堵塞区块。
破坏行为（如无盈利动机但对用户或协议造成损害）。
窃取 Gas。
无限制的 Gas 消耗。

低风险漏洞

合约未能兑现承诺的回报，但未造成价值损失。

信息漏洞

第三方预言机提供错误数据。
需要基本经济和治理攻击的影响（如 51% 攻击）。
流动性不足的影响。
Sybil 攻击的影响。
中心化风险。
最佳实践建议。

禁止行为

参与社会工程或钓鱼活动。
披露漏洞的具体信息。
破坏性测试（仅允许概念验证（PoC））。
未使用扫描工具的大规模扫描。
直接修改网页、持续弹出消息框、窃取 Cookie 或使用侵入性 payload。

如果测试过程中发生意外损害，必须立即报告。未遵守规定可能导致法律后果。

加入我们，共同打造更安全的 SAFEX！

我们感谢您为维护平台安全所做的努力。让我们一起构建更安全的加密生态系统！

联系邮箱： bd@safex.trading 官网： safex.trading

Previous收不到邮件怎么办?Next关于我们

Last updated 2 days ago

我们很高兴宣布推出 Bug Bounty 计划，并鼓励大家积极参与，提交漏洞。

您可以将漏洞信息发送至 bd@safex.trading，我们的团队将迅速审核并验证报告的问题。我们重视您对平台安全的贡献，并将及时与您联系。

Web Bug Bounty

范围

*.safex.trading

奖励金额

严重等级

奖励

低风险

50 至 100 USDT

中风险

100 至 500 USDT

高风险

500 至 1000 USDT

严重

1000 至 5000 USDT

Web 漏洞定义

严重漏洞

未经授权控制业务系统。
获取核心系统的管理权限。
完全控制核心系统。

示例：

控制内部网络中的多个设备。
获取后端超级管理员权限，导致严重后果（如关键企业数据泄露）。
智能合约溢出和竞争条件漏洞。

高风险漏洞

获取系统权限（如 GetShell、命令执行）。
系统 SQL 注入。
未经授权访问敏感信息（如绕过认证、弱密码、SSRF 漏洞）。
任意文件读取。
XXE 漏洞允许访问任何信息。
未经授权的交易或绕过涉及资金的支付逻辑。
严重的逻辑和流程设计缺陷（如任意用户登录漏洞、批量修改账户密码）。
其他对用户影响广泛的漏洞（如重要页面上的存储型 XSS 漏洞）。
大量源代码泄露。
智能合约权限控制缺陷。

中风险漏洞

需要用户交互的漏洞（如存储型 XSS、与核心业务流程相关的 CSRF）。
并行授权操作（如绕过限制修改用户数据）。
拒绝服务（DoS）漏洞。
验证码逻辑缺陷导致敏感操作被暴力破解。
本地敏感认证密钥信息泄露。

低风险漏洞

本地 DoS 漏洞（如客户端崩溃）。
常规信息泄露（如 Web 路径遍历、目录浏览）。
XSS 漏洞（包括 DOM XSS/反射型 XSS）。
常规 CSRF 漏洞。
URL 重定向漏洞。
短信炸弹、邮件炸弹（每个系统仅接受一种类型）。
其他影响较小或无法证明危害的漏洞。

不接受漏洞类型

邮件伪造。
用户枚举漏洞。
Self-XSS 和 HTML 注入。
网页缺少 CSP 和 SRI 安全策略。
非敏感操作的 CSRF 问题。
单个 Android 应用问题（如 android:allowBackup="true"）。
修改图片大小导致请求缓慢等问题。
Nginx 或其他软件的版本泄露。
无安全风险的功能性问题。
对 SAFEX 员工的个人攻击或社会工程。

合约漏洞定义

严重漏洞

任何治理投票结果操纵。
直接窃取用户资金（静态或动态，不包括未申领的收益）。
永久冻结资金。
矿工可提取价值（MEV）。
协议资不抵债。

高风险漏洞

窃取未申领的收益或版税。
永久冻结未申领的收益或版税。
暂时冻结资金。

中风险漏洞

智能合约因缺乏代币资金而无法运行。
为盈利而堵塞区块。
破坏行为（如无盈利动机但对用户或协议造成损害）。
窃取 Gas。
无限制的 Gas 消耗。

低风险漏洞

合约未能兑现承诺的回报，但未造成价值损失。

信息漏洞

第三方预言机提供错误数据。
需要基本经济和治理攻击的影响（如 51% 攻击）。
流动性不足的影响。
Sybil 攻击的影响。
中心化风险。
最佳实践建议。

禁止行为

参与社会工程或钓鱼活动。
披露漏洞的具体信息。
破坏性测试（仅允许概念验证（PoC））。
未使用扫描工具的大规模扫描。
直接修改网页、持续弹出消息框、窃取 Cookie 或使用侵入性 payload。

如果测试过程中发生意外损害，必须立即报告。未遵守规定可能导致法律后果。

加入我们，共同打造更安全的 SAFEX！

我们感谢您为维护平台安全所做的努力。让我们一起构建更安全的加密生态系统！

联系邮箱： bd@safex.trading 官网： safex.trading