Binance에 보안 취약점을 신고하는 방법

보안 취약점 보고 이해

1. 바이낸스는 윤리적인 해커, 연구원 및 사용자가 플랫폼 내의 잠재적인 취약점을 보고할 수 있도록 전용 보안 프레임워크를 유지합니다. 이 프로세스는 디지털 자산 보호의 무결성을 유지하고 사용자 신뢰를 보장하는 데 필수적입니다. 거래소는 보고된 문제를 효율적으로 평가하고 해결하기 위해 엄격한 프로토콜에 따라 운영됩니다.

2. 보안 취약점은 데이터, 자금 또는 운영 안정성을 손상시키는 데 악용될 수 있는 바이낸스 시스템, 스마트 계약, API 또는 애플리케이션의 결함이나 약점을 의미합니다. 여기에는 논리 결함, 인증 우회, 무단 액세스 벡터 또는 암호화 취약점이 포함될 수 있습니다.

3. 책임 있는 공개를 적극 권장합니다. 취약점을 발견한 개인은 Binance가 수정 사항을 조사하고 구현할 충분한 시간을 갖기 전에 문제를 악용하거나 공개적으로 공개하는 것을 삼가해야 합니다. 조기 노출은 사용자 자산을 위험에 빠뜨리고 시장 불안정을 유발할 수 있습니다.

4. 바이낸스는 보고서를 안전하게 제출할 수 있는 공식 채널을 구축했습니다. 여기에는 암호화된 이메일 주소, 보안 웹 양식, HackerOne과 같은 글로벌 버그 바운티 플랫폼과의 통합이 포함됩니다. 제출물에는 재현 단계, 영향을 받는 구성 요소 및 잠재적 영향을 포함한 자세한 기술 정보가 포함되어야 합니다.

5. 모든 제출물은 바이낸스 내부 보안팀에 의해 분류됩니다. 실제 위험을 입증하고 명확한 증거가 포함된 보고서가 우선적으로 분석됩니다. 평가에는 검증, 위험 평가, 패치 또는 완화 배포를 위한 관련 엔지니어링 팀과의 조정이 포함됩니다.

보고 자격 및 범위

1. 취약성 보고 프로그램은 바이낸스의 책임 공개 정책을 준수하는 경우 전 세계 개인에게 열려 있습니다. 자동화된 검사 도구, 서비스 거부 테스트, 사회 공학 및 물리적 공격은 허용되는 방법에서 명시적으로 제외됩니다.

2. 적격 대상에는 Binance.com, BSC(Binance Smart Chain), Trust Wallet, API 엔드포인트, 모바일 애플리케이션 및 공식적으로 호스팅되는 하위 도메인이 포함됩니다. Binance가 직접 관리하지 않는 타사 통합 또는 서비스는 핵심 인프라에 직접 영향을 미치지 않는 한 범위를 벗어납니다.

3. 일반적으로 허용되는 취약점 유형에는 원격 코드 실행, 권한 상승, XSS(교차 사이트 스크립팅), SSRF(서버측 요청 위조), 안전하지 않은 IDOR(직접 객체 참조), 자금 손실 또는 무단 거래와 관련된 지갑 관련 공격이 포함됩니다.

4. 중복 보고서는 검토되지만 다른 연구자가 이미 동일한 문제를 공개한 경우 일반적으로 보상을 받지 못합니다. 처음으로 접수된 유효한 제출물에 우선순위가 부여됩니다. 바이낸스는 보고서의 영향, 독창성 및 명확성을 기반으로 적격성을 결정할 권리를 보유합니다.

5. 연구자는 정확한 연락처 정보를 제공해야 하며 후속 의사소통이 가능한 상태를 유지해야 합니다. 익명 제출이 허용되지만 제한된 상호 작용 기능으로 인해 해결이 지연될 수 있습니다.

보상과 표창

1. 바이낸스는 보고된 취약점의 심각도에 따라 금전적 보상을 제공하는 버그 포상금 프로그램을 운영하고 있습니다. 원격 코드 실행 또는 개인 키 노출과 같은 중요한 발견으로 인해 암호화폐로 $100,000를 초과하는 지불금이 발생할 수 있습니다.

2. 보상은 보고된 문제를 성공적으로 확인하고 해결한 후 암호화폐(일반적으로 BUSD 또는 BNB)로 배포됩니다. 금액은 익스플로잇의 복잡성, 잠재적인 재정적 영향, 완화 용이성을 포함한 요소에 따라 결정됩니다.

3. 바이낸스는 재정적인 보상 외에도 공개 명예의 전당에 기여자를 표창하고 영향력 있는 보고서를 제출한 연구자의 이름을 나열합니다. 이러한 인정은 사이버 보안 및 블록체인 커뮤니티 내에서 전문적인 신뢰성을 지원합니다.

4. 결제 처리는 취약점이 완전히 해결되고 해결된 것으로 확인된 후에만 발생합니다. 보상 금액에 대한 분쟁은 고위 보안 담당자가 검토하는 공식 채널을 통해 항소할 수 있습니다.

5. 허위 신고서를 제출하거나 조사 중 악용을 시도하는 등 신고 시스템을 오용하는 경우 프로그램 자격이 영구적으로 박탈되고 법적 조치를 받을 수 있습니다.

자주 묻는 질문

취약점 보고서를 바이낸스에 보내기 전에 어떻게 암호화하나요? 바이낸스는 민감한 보고서를 암호화하기 위한 공개 PGP 키를 제공합니다. 공식 보안 페이지에서 키를 다운로드하고 GPG와 같은 도구를 사용하여 메시지를 암호화할 수 있습니다. 이는 전송 중 기밀성을 보장합니다.

바이낸스 스마트 체인에서 실행되는 타사 dApp에서 발견된 취약점을 보고할 수 있나요? 일반적으로 그렇지 않습니다. 취약점이 BSC의 핵심 프로토콜에서 비롯되거나 바이낸스가 운영하는 서비스에 영향을 미치지 않는 한, 이러한 보고는 각 dApp 개발자에게 전달되어야 합니다. 바이낸스는 적절한 경우 중요한 생태계 위협을 전달할 수 있습니다.

테스트하는 동안 실수로 경고가 발생하면 어떻게 되나요? 귀하의 행동이 악의적이지 않고 합법적인 연구의 일부인 경우 바이낸스는 맥락과 의도를 평가합니다. 자동화된 모니터링 시스템에 의해 신고되지 않도록 사전에 자세한 내용을 문의하세요.

응답을 받는 데 걸리는 시간이 있나요? 최초 승인은 일반적으로 영업일 기준 5일 이내에 이루어집니다. 복잡한 경우 심층 분석을 위해 추가 시간이 필요할 수 있습니다. 연구자들은 해결 과정 전반에 걸쳐 정기적으로 업데이트됩니다.