如何向币安报告安全漏洞

了解安全漏洞报告

1. 币安维持专用的安全框架，允许道德黑客、研究人员和用户报告其平台内的潜在漏洞。这一过程对于维护数字资产保护的完整性和确保用户信任至关重要。该交易所按照严格的协议运作，以有效评估和解决报告的问题。

2. 安全漏洞是指币安系统、智能合约、API 或应用程序中可能被利用来危害数据、资金或操作稳定性的任何缺陷或弱点。这些可能包括逻辑缺陷、身份验证绕过、未经授权的访问向量或加密弱点。

3. 强烈鼓励负责任的披露。在币安有足够的时间调查和实施修复之前，发现漏洞的个人应避免利用或公开披露该问题。过早暴露可能会危及用户资产并引发市场不稳定。

4. 币安建立了安全提交报告的正式渠道。其中包括加密的电子邮件地址、安全的 Web 表单以及与 HackerOne 等全球错误赏金平台的集成。提交的内容应包含详细的技术信息，包括复制步骤、受影响的组件和潜在影响。

5. 所有提交的内容均由币安内部安全团队进行分类。优先分析证明真实风险并附有明确证据的报告。评估包括验证、风险评估以及与相关工程团队协调以部署补丁或缓解措施。

报告的资格和范围

1. 漏洞报告计划向全世界的个人开放，前提是他们遵守币安的负责任的披露政策。自动扫描工具、拒绝服务测试、社会工程和物理攻击被明确排除在可接受的方法之外。

2. 合格目标包括Binance.com、币安智能链（BSC）、Trust Wallet、API端点、移动应用程序和官方托管子域。不由币安直接管理的第三方集成或服务不属于范围，除非它们直接影响核心基础设施。

3. 普遍接受的漏洞类型包括远程代码执行、权限提升、跨站脚本 (XSS)、服务器端请求伪造 (SSRF)、不安全的直接对象引用 (IDOR) 以及涉及资金损失或未经授权交易的钱包相关漏洞。

4. 重复的报告会被审查，但如果其他研究人员已经披露了相同的问题，通常不会获得奖励。优先考虑第一个收到的有效提交。币安保留根据报告的影响力、原创性和清晰度来确定资格的权利。

5、研究人员必须提供准确的联系方式，并保持后续沟通。接受匿名提交，但由于交互能力有限，可能会延迟解决。

奖励和认可

1. 币安实行漏洞赏金计划，根据报告漏洞的严重程度提供金钱奖励。远程代码执行或私钥泄露等关键发现可能会导致超过 10 万美元的加密货币支出。

2.在成功验证并修复所报告的问题后，奖励将以加密货币形式分发，通常以 BUSD 或 BNB 形式。该金额取决于漏洞利用复杂性、潜在财务影响和缓解难易程度等因素。

3. 除了经济补偿之外，币安还在其公共名人堂中表彰贡献者，列出了提交高影响力报告的研究人员的姓名。这种认可支持了网络安全和区块链社区内的专业可信度。

4. 仅在漏洞得到完全解决并确认已解决后才会进行付款处理。有关奖励金额的争议可以通过官方渠道提出申诉，由高级安全人员进行审核。

5.滥用报告系统，例如提交虚假声明或在调查期间试图利用，将导致永久取消该计划的资格并可能采取法律行动。

常见问题解答

在将漏洞报告发送到币安之前，如何对其进行加密？ Binance 提供用于加密敏感报告的公共 PGP 密钥。您可以从他们的官方安全页面下载密钥并使用 GPG 等工具来加密您的消息。这确保了传输过程中的机密性。

我可以报告在币安智能链上运行的第三方 dApp 上发现的漏洞吗？一般来说，不会。除非漏洞源于 BSC 的核心协议或影响币安运营的服务，否则此类报告应直接发送给相应的 dApp 开发人员。币安可能会在适当的时候转发关键的生态系统威胁。

如果我在测试时意外触发警报会怎样？如果您的行为非恶意且属于合法研究的一部分，币安会评估背景和意图。主动联系他们并提供详细信息，以避免被自动监控系统标记。

是否有收到回复需要多长时间的时间表？初步确认通常会在五个工作日内进行。复杂的案例可能需要额外的时间进行深入分析。研究人员在整个解决过程中定期更新信息。