Coinbase 지갑에서 보안 취약성을보고하는 방법은 무엇입니까?

코인베이스 지갑의 보안 취약성보고 이해

비 관관적 암호 화폐 지갑으로서 코인베이스 지갑은 사용자 보안과 플랫폼의 무결성을 매우 중요하게 생각합니다. 사용자 또는 보안 연구원이 잠재적 인 취약점을 식별 할 때 이러한 문제가 효율적이고 책임감있게 해결되도록 공식적인 프로세스가 있습니다.

보안 취약성을 올바르게보고하면 수백만 명의 사용자를 보호하고 전체 생태계를 강화합니다.

보안 문제를보고하는 단계

1. 취약점을보고하기위한 기본 채널 역할을하는 공식 Coinbase 보안 공개 페이지로 이동하십시오.
2. Coinbase 지갑과 관련된 웹 응용 프로그램, 모바일 앱, API 및 스마트 계약 상호 작용을 포함하여 버그 바운티 프로그램에서 다루는 시스템의 범위를 검토하십시오.
3. 취약성의 특성, 재생산 단계, 영향을받는 구성 요소 및 스크린 샷 또는 로그와 같은 지원 증거를 포함하는 자세한 보고서를 준비하십시오.
4. 타사 플랫폼 코인베이스는 취약성 공개를 관리하고 연구원과의 응답을 조정하는 데 사용하는 Hackerone을 통해 보고서를 제출하십시오.
5. Coinbase가 악의적 인 행위자의 착취를 방지하기 위해 문제가 해결되었음을 확인할 때까지 공개 공개를 자제하십시오.

취약성의 자격과 범위

모든 기술적 관찰이 유효한 보안 취약점으로 자격이있는 것은 아닙니다. Coinbase는 프로그램에서 인정 또는 보상을받을 수있는 결과 유형에 대한 명확한 지침을 유지합니다.

1. 사용자 펀드에 대한 무단 액세스, 개인 키 노출, 거래 조작 또는 우회 인증 메커니즘과 같은 영향력이 높은 문제에 중점을 둡니다.
2. 실질적인 익스플로잇 경로없이 UI 불일치, 스팸 공격 또는 이론적 위험과 같은 낮은 결과를 제외하십시오.
3. 허용 된 자산 및 서비스의 경계 내에서만 테스트를 포함시킵니다. 사회 공학, 물리적 공격 또는 서비스 거부 시도를 피하십시오.
4. 모든 테스트가 법적 및 윤리적 표준을 준수하는지 확인하십시오. 개념 증명을 넘어서는 탐구는 엄격하게 금지됩니다.
5. 타사 통합의 취약점은 Coinbase Wallet의 핵심 기능을 직접 손상시키지 않는 한 범위를 벗어날 수 있음을 인식하십시오.

연구자들을위한 보상과 인정

Coinbase는 윤리적 해커와 보안 전문가에게 플랫폼 안전에 기여하도록 장려하는 버그 현상금 프로그램을 운영합니다.

1. 보상은 심각도에 따라 다릅니다.
2. 보고 된 문제의 유효성 검사 및 해결 후에 지불금은 Hackerone을 통해 처리됩니다.
3. 연구원들은 Coinbase의 명예의 전당에서 익명을 유지하거나 대중의 인정을받을 수 있습니다.
4. 조사 및 개선 과정에서 적시에 의사 소통이 유지됩니다.
5. 반복되는 기고자는 신뢰할 수있는 지위를 얻을 수있어 더 빠른 심사와 더 깊은 협력을 가능하게 할 수 있습니다.

자주 묻는 질문

테스트하는 동안 실수로 보안 메커니즘을 트리거하면 어떻게됩니까?

승인 된 테스트 중에 의도하지 않은 행동이 발생하는 경우 즉시 추가 작업을 중지하고 보고서에 사건을 공개하십시오. 선의로 저지른 정직한 실수는 악의적 인 활동과 다르게 취급됩니다.

자동화 된 도구를 사용하여 취약점을 스캔 할 수 있습니까?

자동 스캔 도구는 트래픽을 과도하게 생성하거나 서비스를 방해하지 않는 경우에만 허용됩니다. 가용성 또는 성능에 영향을 줄 수있는 도구는 사전 승인해야합니다.

Coinbase는 보고서에 얼마나 걸리나요?

초기 승인은 일반적으로 72 시간 내에 발생합니다. 전체 해상도 타임 라인은 복잡성에 따라 다르지만 업데이트는 Hackerone 포털을 통해 정기적으로 제공됩니다.

블록 체인 트랜잭션 분석은 유효한 취약점으로 간주됩니까?

온쇄 패턴 또는 공개 지갑 주소에 대한 관찰은 일반적으로 Coinbase 지갑의 논리 또는 인터페이스에 결함이 있음을 밝히지 않는 한 취약점으로 분류되지 않습니다.