Coinbaseウォレットのセキュリティの脆弱性を報告する方法は？

Coinbaseウォレットでのセキュリティの脆弱性報告の理解

Coinbaseウォレットは、非義理の暗号通貨ウォレットとして、ユーザーセキュリティとそのプラットフォームの完全性を非常に重要にしています。ユーザーまたはセキュリティ研究者が潜在的な脆弱性を特定するとき、これらの問題が効率的かつ責任を持って対処されるようにするための正式なプロセスが整備されています。

セキュリティの問題を報告する手順

1. 脆弱性を報告するための主要なチャネルとして機能する公式のCoinbaseセキュリティ開示ページに移動します。
2. Webアプリケーション、モバイルアプリ、API、Coinbaseウォレットに関連するスマートコントラクトインタラクションなど、バグバウンティプログラムの対象となるシステムの範囲を確認します。
3. 脆弱性の性質、それを再現するための手順、影響を受けるコンポーネント、およびスクリーンショットやログなどの支持的な証拠を含む詳細なレポートを準備します。
4. Coinbaseが使用するサードパーティのプラットフォームであるHackeroneを介してレポートを提出し、脆弱性の開示を管理し、研究者と対応を調整します。
5. Coinbaseが悪意のある俳優による搾取を防ぐために問題が解決されたことを確認するまで、公開の開示を控えてください。

適格性と脆弱性の範囲

すべての技術的観察が有効なセキュリティの脆弱性として資格があるわけではありません。 Coinbaseは、プログラムに基づく認識または報酬の対象となる調査結果の種類に関する明確なガイドラインを維持しています。

1. ユーザーファンドへの不正アクセス、民間のキーエクスポージャー、トランザクション操作、認証メカニズムのバイパスなど、インパクトのある問題に焦点を当てます。
2. 実用的なエクスプロイトパスなしで、UIの不一致、スパム攻撃、または理論的リスクなどの低悪性調査結果を除外します。
3. 許可された資産とサービスの境界内にのみテストを含める。ソーシャルエンジニアリング、身体的攻撃、またはサービス拒否の試みを避けてください。
4. すべてのテストが法的および倫理的基準を順守することを確認してください。概念実証を超えた掘削が厳密に禁止されています。
5. コインベースウォレットのコア機能を直接妥協しない限り、サードパーティの統合の脆弱性は範囲外である可能性があることを認識してください。

研究者への報酬と認識

Coinbaseは、プラットフォームの安全性に貢献するために倫理的なハッカーとセキュリティの専門家を奨励するバグバウンティプログラムを運営しています。

1. 報酬は、重大度に基づいて異なります。これは、重大な欠陥に対して数百から数万ドルの範囲です。
2. 報告された問題の検証と解決後、ペイアウトはハッケロンを介して処理されます。
3. 研究者は、Coinbaseの殿堂で匿名のままでいるか、一般の承認を受けることを選択できます。
4. 調査と修復プロセスを通じて、タイムリーなコミュニケーションが維持されます。
5. 繰り返しの貢献者は、信頼できるステータスを獲得し、より速いトリアージとより深いコラボレーションを可能にする場合があります。

よくある質問

認定されたテスト中に意図しない動作が発生した場合、すぐにさらなるアクションを停止し、レポートでインシデントを開示します。誠実に犯された正直な間違いは、悪意のある活動とは異なる方法で扱われます。

自動スキャンツールは、過度のトラフィックを生成したり、サービスを破壊したりしない場合にのみ許可されます。可用性やパフォーマンスに影響を与える可能性のあるツールは、事前に承認する必要があります。

Coinbaseはレポートにどのくらい時間がかかりますか？

通常、最初の承認は72時間以内に発生します。完全な解像度のタイムラインは複雑さに依存しますが、更新はハッケロンポータルを介して定期的に提供されます。

オンチェーンパターンまたはパブリックウォレットアドレスについての観察は、一般に、ファンドの損失につながるコインベースウォレットのロジックまたはインターフェイスに欠陥を明らかにしない限り、脆弱性として分類されません。