セキュリティの脆弱性をバイナンスに報告する方法

セキュリティ脆弱性レポートについて

1. Binance は、倫理的なハッカー、研究者、ユーザーがプラットフォーム内の潜在的な脆弱性を報告できるようにするための専用のセキュリティ フレームワークを維持しています。このプロセスは、デジタル資産保護の完全性を維持し、ユーザーの信頼を確保するために不可欠です。交換は、報告された問題を効率的に評価して解決するために、厳格なプロトコルに基づいて動作します。

2. セキュリティ脆弱性とは、データ、資金、または運用の安定性を侵害するために悪用される可能性がある、Binance のシステム、スマート コントラクト、API、またはアプリケーションの欠陥または弱点を指します。これらには、論理的な欠陥、認証バイパス、不正なアクセス ベクトル、または暗号化の弱点が含まれる場合があります。

3. 責任ある情報開示が強く推奨されます。脆弱性を発見した個人は、Binance が調査して修正を実装するのに十分な時間を得るまで、問題を悪用したり公に公開したりしないことが求められます。時期尚早にリスクにさらされると、ユーザー資産が危険にさらされ、市場が不安定になる可能性があります。

4. Binance は、報告書を安全に提出できる正式なチャネルを確立しています。これには、暗号化された電子メール アドレス、安全な Web フォーム、HackerOne などのグローバルなバグ報奨金プラットフォームとの統合が含まれます。提出物には、再現手順、影響を受けるコンポーネント、潜在的な影響など、詳細な技術情報を含める必要があります。

5. すべての提出物は、Binance の内部セキュリティ チームによって優先順位付けされます。真のリスクを実証し、明確な証拠を伴うレポートが優先的に分析されます。評価には、パッチや緩和策を導入するための検証、リスク評価、関連するエンジニアリング チームとの調整が含まれます。

報告の資格と範囲

1. 脆弱性報告プログラムは、Binance の責任ある開示ポリシーに準拠する限り、世界中の個人が利用できます。自動スキャン ツール、サービス拒否テスト、ソーシャル エンジニアリング、および物理的攻撃は、許容される手法から明示的に除外されます。

2. 対象となるターゲットには、Binance.com、Binance Smart Chain (BSC)、Trust Wallet、API エンドポイント、モバイル アプリケーション、および公式にホストされているサブドメインが含まれます。 Binance が直接管理していないサードパーティの統合やサービスは、コア インフラストラクチャに直接影響しない限り、対象外となります。

3. 一般的に受け入れられている脆弱性の種類には、リモート コード実行、権限昇格、クロスサイト スクリプティング (XSS)、サーバー側リクエスト フォージェリ (SSRF)、安全でないダイレクト オブジェクト参照 (IDOR)、資金損失や不正な取引を伴うウォレット関連のエクスプロイトが含まれます。

4. 重複した報告書は審査されますが、別の研究者が同じ問題をすでに開示している場合、通常は報われません。最初に受け取った有効な提出が優先されます。 Binance は、レポートの影響力、独自性、明確さに基づいて適格性を判断する権利を留保します。

5. 研究者は正確な連絡先情報を提供し、フォローアップの連絡にいつでも対応できるようにしなければなりません。匿名の提出も受け付けられますが、対話機能が限られているため、解決が遅れる可能性があります。

報酬と評価

1. Binance は、報告された脆弱性の重大度に基づいて金銭的な報奨金を提供するバグ報奨金プログラムを運営しています。リモートでのコード実行や秘密キーの漏洩などの重大な発見により、暗号通貨で 100,000 ドルを超える支払いが発生する可能性があります。

2.報告された問題の検証と修復が成功した後、報酬は暗号通貨 (通常は BUSD または BNB) で配布されます。この金額は、エクスプロイトの複雑さ、潜在的な財務上の影響、緩和の容易さなどの要因によって決まります。

3. 金銭的補償に加えて、バイナンスは公開の殿堂に貢献者を認め、影響力の高いレポートを提出した研究者の名前を列挙しています。この評価は、サイバーセキュリティとブロックチェーンのコミュニティ内での専門家としての信頼を裏付けています。

4. 支払い処理は、脆弱性が完全に解決され、解決されたことが確認された後にのみ行われます。報酬額に関する紛争は、上級セキュリティ担当者が審査を行う公式ルートを通じて異議を申し立てることができます。

5.虚偽の申し立てを提出したり、調査中に悪用を試みたりするなど、報告システムを悪用した場合、プログラムから永久に資格を剥奪され、法的措置が講じられる可能性があります。

よくある質問

脆弱性レポートを Binance に送信する前に暗号化するにはどうすればよいですか? Binance は、機密レポートを暗号化するための公開 PGP キーを提供します。公式セキュリティ ページからキーをダウンロードし、GPG などのツールを使用してメッセージを暗号化できます。これにより、送信中の機密性が確保されます。

Binance Smart Chain で実行されているサードパーティの dApp で見つかった脆弱性を報告できますか?一般的には、いいえ。脆弱性が BSC のコア プロトコルに起因する場合、または Binance が運営するサービスに影響を与える場合を除き、そのような報告はそれぞれの dApp 開発者に送信される必要があります。 Binance は、必要に応じて、重大なエコシステムの脅威を転送する場合があります。

テスト中に誤ってアラートをトリガーした場合はどうなりますか?あなたの行動が悪意がなく、正当な研究の一部である場合、Binance はコンテキストと意図を評価します。自動監視システムによる報告を避けるために、詳細を事前に連絡してください。

返答を受け取るまでにどれくらいの時間がかかるかのスケジュールはありますか?最初の確認は通常 5 営業日以内に行われます。複雑なケースでは、詳細な分析に追加の時間が必要になる場合があります。研究者は解決プロセスを通じて定期的に最新情報を入手します。