トピック
    Bybitバグ報奨金プログラム
    bybit2025-08-01 13:58:22

    Bybitバグバウンティプログラムの方法とは何ですか?また、プログラムに参加するにはどうすればよいですか?

    Bybitバグ報奨金プログラムは、Bybitのプラットフォームの脆弱性を特定した個人に特典を提供することを目的としています。潜在的な脆弱性やバグに気づいた場合、以下の手順に従ってプログラムに参加できます。

     

    ステップ1:すべての調査結果を整理された整頓された形式で統合します。バグのGIFまたはビデオ録画の提供は、最も有難いものです。

     

    ステップ2:このフォームからセキュリティレポートと調査結果を提出し、「API取引/セキュリティ脆弱性の報告」を選択します

     

    ビデオ録画については、Googleドライブにアップロードし、共有可能なリンクを送信してください。詳細については、こちらをご覧ください

     

     

     

    LazarusBountyプログラムとBybitバグ報奨金プログラムは同じですか?

    いいえ、同じ報奨金プログラムではありません。LazarusBountyプログラムは、違法資金の特定と凍結を支援する人々を対象としています。Bybitバグ報奨金プログラムは、Bybitの脆弱性に気づき、報告を提出する人々を対象としています。


    LazarusBountyプログラムの詳細については、こちらの記事をご覧ください

     

     



     

     

    プログラムルール

    1. 再現可能なステップを記載した詳細なレポートを提出してください。レポートの詳細が問題再現に十分でない場合、問題は特典を受け取ることができません。

    2. 脆弱性をチェーン処理してインパクトを与える必要がある場合を除き、報告ごとに脆弱性を1つ提出してください。

    3. 重複が発生した場合は、最初に受け取ったレポートのみを発行します(完全に複製できる場合)。

    4. 1つの根本的な問題に起因する複数の脆弱性には、1つの報奨金が支払われます。

    5. ソーシャルエンジニアリング(フィッシング、ビッシング、スミッシングなど)は禁止されています。

    6. プライバシー侵害、データの破壊、サービスの中断や劣化を避けるため、誠意を持って努力してください。お客様が保有するアカウントとのみ、またはアカウント保有者の明示的な許可を得てのみやり取りしてください。

    7. 自動スキャンツールの使用は避けてください。このような方法で特定された提出物は受け付けることができません。

    8. サービスの利用可能性に影響を与える可能性のある悪影響や破壊的な行為(DoS/DDoSなど)を避ける

    9. テストプラン

    • 弊社の資産関連機能のテストに関心があり、テストに必要な資産がない場合、https://testnet.bybit.com。(*テストネットは、実際の価値を持たないテスト通貨を利用しています。 お客様が弊社の商品で最適な体験を楽しんでいただけるよう、厳格な2FA制限は課さないことを決定しました。 そのため、テストネット上で2FAをバイパスした報告は受け付けられません)。

     

     

     

     

     

    脆弱性レベルの詳細

    脆弱性が承認された場合、どのようなバグ報奨金が支払われますか?

    検出された脆弱性のレベルに応じて利用可能なバグ報奨金については、以下の表を参照してください。

     

    レベル

    賞金

    150~600 USDT

    中程度

    600~1,500 USDT

    1,500~5,000 USDT

    重要

    5,000~10,000 USDT

     

     

     

    さまざまなレベルのバグ/脆弱性はどのように定義されていますか?

    詳細については、以下のリストを参照してください。

     

    重大な脆弱性

    重大な脆弱性とは、コアビジネスシステム(コアコントロールシステム、フィールドコントロール、ビジネス流通システム、要塞マシン、または多数のシステムを管理できるその他の管理場所)で発生する脆弱性を指します。深刻な影響をもたらし、ビジネスシステム管理アクセス(実際の状況に応じて)やコアシステム管理スタッフのアクセスを獲得し、さらにはコアシステムをコントロールすることもあります。

     

    重大な脆弱性には以下が含まれますが、これらに限定されません。

    • 複数のデバイスが内部ネットワークにアクセス

    • バックエンドのスーパー管理者によるコアアクセスの獲得、エンタープライズコアデータの漏洩、深刻な影響

    • スマートコントラクトオーバーフローと条件付き競争の脆弱性

     

     

    高リスクの脆弱性

    • システムへのアクセス(getshell、コマンド実行など)

    • システムSQLインジェクション(バックエンド脆弱性の悪化、必要に応じてパッケージ提出の優先順位付け)

    • 機密情報への不正アクセス。これには、認証を迂回したり、攻撃可能なバックエンドパスワードをブルートフォースしたり、内部ネットワークで機密情報のSSRFを取得したりすることが含まれますが、これらに限定されません。

    • 任意文書の読み取り

    • あらゆる情報にアクセスできるXXE脆弱性

    • 資金または支払いロジックのバイパスを伴う不正な操作(正常に利用される必要があります)

    • 重大な論理設計上の欠陥とプロセス上の欠陥。これには、認証コードの爆発を除き、ユーザーのログイン脆弱性、バッチアカウントのパスワード変更の脆弱性、エンタープライズコアビジネスが関与するロジックの脆弱性などが含まれますが、これらに限定されません。

    • 利用者に大きな影響を与えるその他の脆弱性。これには、重要なページに自動的に伝搬できるストレージXSSや、管理者の認証情報にアクセスし、正常に利用できるストレージXSSが含まれますが、これらに限定されません。

    • ソースコードの漏洩

    • スマートコントラクトの許可管理の不備

     

     

    中リスクの脆弱性

    • 一般的なページへのXSSの保管、コアビジネスが関与するCSRFなど、インタラクションによって利用者に影響を与える可能性がある脆弱性。

    • ユーザーデータの変更や、制限を回避してユーザー操作を実行するなど、一般的な無許可操作

    • Webアプリケーションのサービス拒否に起因するリモートサービス拒否の脆弱性を含むが、これらに限定されないサービス拒否の脆弱性

    • 認証コードロジックの欠陥により、アカウントログインやパスワードアクセスなど、システムセンシティブな操作が爆発的に成功したことによる脆弱性

    • ローカルに保管された機密認証キー情報の漏洩。効果的に利用するために利用可能である必要があります。



    低リスクの脆弱性

    • ローカルサービス拒否の脆弱性には、クライアントローカルサービス拒否(ファイル形式の解析、ネットワークプロトコルによって発生したクラッシュ)、Androidコンポーネントの権限の漏洩、一般的なアプリケーションアクセスなどによる問題が含まれますが、これらに限定されません。

    • 一般的な情報漏洩は、Webパストラバーサル、システムパストラバーサル、ディレクトリブラウジングなどに限定されません。

    • XSS(DOM XSS/リフレクテッドXSSを含む)

    • 一般CSRF

    • URLスキップの脆弱性

    • SMS爆弾、メール爆弾(各システムはこの脆弱性の1つのタイプのみを受け入れます)。

    • 有害性が低いその他の脆弱性(機密情報にアクセスできないCORS脆弱性など、証明できない脆弱性) 

    • リターン価値がなく、SSRFの詳細な活用も不要

     





    禁止行為

    • ソーシャルエンジニアリングの実施および/またはフィッシング

    • 脆弱性の詳細の漏洩

    • 脆弱性テストはPoC(概念実証)に限定されており、破壊的テストは固く禁じられています。テスト中に不注意で被害が発生した場合は、期限内に報告する必要があります。一方、削除、変更、その他の操作など、テスト中に行われる機密性の高い操作については、レポートで説明する必要があります。

    • スキャナを使用して大規模なスキャンを行う。ビジネスシステムまたはネットワークが利用できなくなった場合、関連する法律に従って処理されます。

    • 脆弱性をテストする人は、ページを直接変更したり、メッセージボックスをポップアップしたり(xss認証にはDNSLogを推奨)、クッキーを盗んだり、ユーザー情報などの攻撃的なペイロードを取得したりしないようにする必要があります(ブラインドxssテストの場合は、dnslogを使用してください)。攻撃的なペイロードを誤って使用した場合は、すぐに削除してください。それ以外の場合、当社は関連する法的責任を追及する権利を有します。

     

     

     

     

     

    範囲外の脆弱性

    脆弱性を報告する際には、(1)攻撃シナリオ/エクスプロイティビリティ、(2)バグのセキュリティへの影響を考慮してください。以下の問題は対象外とみなされます。

    • 弊社サービスの中断につながる可能性のある活動(DoS、DDoS)。

    • 明示的に許可されている場合を除き、当社の従業員または請負業者のソーシャルエンジニアリング。

    • 明示的に承認されていない限り、物理的な施設に対する攻撃。

    • ユーザーのデバイスへの物理的アクセスを必要とする攻撃。ただし、デバイスが範囲内にあり、物理的アクセスに対して明示的に強化されている場合を除く。

    • Man In The Middle(MITM)保護を無効にする必要がある攻撃。

    • 攻撃は、旧式のブラウザやオペレーティングシステムにのみ影響します。

    • 重大な影響が実証されない限り、ベストプラクティス(SSL/TLS設定、コンテンツセキュリティポリシー、クッキーフラグ、タブナビング、オートコンプリート属性、メールSPF/DKIM/DMARCレコード)が欠落している。

    • 機密性の高い行動を取らずに、認証されていないページ/フォームでクリックジャックまたはクロスサイトリクエスト偽造(CSRF)を行う。

    • 大きな影響が実証されない限り、未決済のリダイレクト。

    • 自己爆発(自己XSS、自己サービス拒否など)。ただし、別のユーザーを攻撃する方法が実証できる場合は除きます。

    • コンテンツスプーフィング、テキストインジェクション、CSVインジェクション。ただし、大きな影響が証明できる場合は除きます。

    • ソフトウェアバージョン開示/バナーの識別に関する問題/説明的なエラーメッセージまたはスタックトレース。

    • 被害者によるユーザーとのやり取りがあまり必要でない問題。

    • 攻撃者が管理するウェブサイトからの契約とやり取りする必要がある攻撃

    • チェーン固有の脆弱性は除外されます(EVMやソラナのランタイムの問題など)。

    • 統合Dappの脆弱性は除外されます(例:Uniswap、Curve、GMX、1inch)

     

     

     

     

     

    開示ポリシー

    本プログラムや、本プログラム以外の脆弱性(解決済みの脆弱性であっても)については、組織からの明示的な同意がない限り、議論しないでください。

    役に立ちましたか?
    yesはいyesいいえ
    関連記事
    トラブルシューティング: ブラウザでの HAR ファイルの作成
    トラブルシューティング:画面録画のBybitへの送信
    さまざまなブラウザのキャッシュとCookieをクリアする方法