Программа Bybit Bug Bounty: правила и участие

Что такое программа Bybit Bug Bounty и как можно принять в ней участие?

Программа Bybit Bug Bounty создана для поощрения специалистов, которые помогают выявлять уязвимости на нашей платформе. Если вы обнаружили потенциальную ошибку или брешь в защите, вы можете принять участие в программе, выполнив следующие шаги:

Шаг 1. Соберите все данные в четком и структурированном виде. Видеозаписи или GIF-файлы с демонстрацией ошибки значительно ускорят процесс проверки.

Шаг 2. Отправка. Заполните эту форму, выбрав категорию «Торговля API / Сообщить об уязвимости безопасности».

Важно: Видеофайлы следует загружать на Google Диск с предоставлением доступа по ссылке. Для получения дополнительной информации перейдите по этой ссылке.

Чем Bybit Bug Bounty отличается от LazarusBounty?

Программа LazarusBounty предназначена для тех, кто помогает в идентификаии и заморозке незаконно полученных средств, в то время как программа Bybit Bug Bounty предназначена для лиц, кто помогает с поиске технических уязвимостей и багов в коде платформы Bybit.

Более подробную информацию о программе LazarusBounty можно найти в этой статье.

1. Правила программы
2. Подробная информация об уровнях уязвимости
3. Запрещенное поведение
4. Уязвимости, не входящие в сферу действия
5. Политика раскрытия информации

Правила программы

1. Подробные отчеты: Предоставляйте отчеты с четкими шагами для воспроизведения ошибки. Если отчет недостаточно детализирован, он не будет давать право на получение вознаграждения.
2. Один отчет — одна ошибка: Отправляйте по одному отчету на каждую уязвимость, за исключением случаев, когда вам нужно объединить несколько уязвимостей в цепочку для демонстрации их влияния.
3. Дубликаты: В случае обнаружения нескольких одинаковых отчетов награда выплачивается только за первый полученный отчет (при условии, что ошибку можно полностью воспроизвести).
4. Корневая причина: За несколько уязвимостей, вызванных одной общей проблемой (первопричиной), присуждается только одно вознаграждение.
5. Социальная инженерия: Любые виды социальной инженерии (фишинг, вишинг, смишинг) строго запрещены.
6. Добросовестность: Принимайте все возможные меры, чтобы избежать нарушения конфиденциальности, удаления данных, а также прерывания или ухудшения качества наших услуг. Взаимодействуйте только с аккаунтами, которыми вы владеете, либо с явного разрешения владельца аккаунта.
7. Автоматизация: Избегайте использования автоматизированных сканеров — отчеты, полученные с помощью таких инструментов, не принимаются.
8. Доступность сервисов: Избегайте действий, которые могут негативно повлиять на доступность наших сервисов (например, DoS/DDoS-атаки).
9. План тестирования
10. Если вы хотите протестировать функции, связанные с активами, но у вас нет средств для этого, вы можете зарегистрировать аккаунт и получить тестовые токены на панели управления активами на сайте: https://testnet.bybit.com. (Обратите внимание: в тестнете используются тестовые монеты, не имеющие реальной стоимости. Чтобы пользователи могли свободно тестировать продукты, мы не устанавливаем строгие ограничения на 2FA. Следовательно, отчеты об обходе 2FA в тестовой сети не принимаются).

Подробная информация об уровнях уязвимости

Размер вознаграждения при одобрении отчета Ниже указаны суммы наград в зависимости от уровня серьезности уязвимости:

Классификация уязвимостей

Критические уязвимости - это уязвимости в основных бизнес-системах (базовая система контроля, локальные системы управления, системы распределения задач, бастион-хосты (jump-серверы) или другие узлы контроля, управляющие большим количеством систем). Эксплуатация таких ошибок может привести к критическим последствиям, получению доступа к управлению бизнесом или к учетным записям администраторов основных систем.

Критические уязвимости включают (но не ограничиваются ими):

1. Несанкционированный доступ нескольких устройств к внутренней сети.
2. Доступ к серверным приложениям с правами суперадминистратора, утечка критических корпоративных данных.
3. Переполнение в смарт-контрактах и уязвимости типа «состояние гонки» (race condition).

Уязвимости высокого риска

1. Получение доступа к системе (GetShell, выполнение произвольных команд и т. д.).
2. Системные SQL-инъекции (уязвимости на стороне сервера с возможностью манипуляции пакетами данных).
3. Несанкционированный доступ к конфиденциальной информации: обход аутентификации в панелях управления, подбор (брутфорс) внутренних паролей, SSRF-атаки на внутренние ресурсы сети и т. д.
4. Произвольное чтение файлов на сервере.
5. Уязвимости XXE, позволяющие получить доступ к любым данным.
6. Несанкционированные операции по обходу логики оплаты или движению денежных средств (требуется успешное подтверждение эксплуатации).
7. Серьезные логические дефекты в архитектуре процессов: уязвимости при входе пользователей, изменение пароля партнерского аккаунта, ошибки в ключевой логике бизнеса (за исключением брутфорса кода верификации).
8. Масштабное влияние на пользователей: хранимые XSS (Stored XSS) на важных страницах с возможностью самораспространения или кражи данных аутентификации администратора.
9. Утечка исходного кода.
10. Ошибки контроля прав доступа в смарт-контрактах.

Уязвимости среднего риска

1. Уязвимости, требующие взаимодействия с пользователем: хранимые XSS на обычных страницах, CSRF в основных бизнес-процессах.
2. Несанкционированные действия общего характера: изменение данных пользователя или выполнение действий от его имени через обход ограничений.
3. Отказ в обслуживании (DoS) на уровне веб-приложений.
4. Уязвимости, вызванные успешным брутфорсом (перебором): вход в аккаунт или доступ к паролю из-за дефектов логики проверки кода подтверждения.
5. Утечка локально хранящихся ключей аутентификации (при возможности их реального использования).

Уязвимости низкого риска

1. Локальный DoS: сбои клиента при парсинге форматов файлов или сетевых протоколов, проблемы с компонентами Android.
2. Общая утечка информации: раскрытие системных путей (Path Traversal), просмотр содержимого каталогов.
3. XSS (включая DOM XSS и отраженные XSS).
4. Общие CSRF-уязвимости.
5. Открытые перенаправления (URL Redirect).
6. SMS-бомберы и почтовые бомберы (принимается только один отчет по каждой системе).
7. Малозначимые уязвимости (например, CORS без возможности доступа к конфиденциальным данным).
8. SSRF без возможности получения практической выгоды или глубокой эксплуатации.

Запрещенное поведение

1. Социальная инженерия и фишинг.
2. Разглашение информации об уязвимости третьим лицам.
3. Тестирование должно ограничиваться проверкой концепции (PoC); деструктивное тестирование строго запрещено. О любом непреднамеренном вреде, нанесенном в ходе теста, необходимо сообщить немедленно. В отчете должны быть указаны все потенциально опасные операции (удаление, изменение данных).
4. Использование сканеров для массового сканирования. Нарушение доступности сети или систем будет расцениваться в соответствии с законом.
5. Исследователи должны избегать прямого изменения страниц (например, вывода всплывающих окон). Для подтверждения XSS рекомендуется использовать DNSLog, не прибегая к краже cookie или сбору данных реальных пользователей. Любые агрессивные полезные нагрузки (payload), созданные случайно, должны быть немедленно удалены.

Уязвимости, не входящие в сферу применения

При составлении отчета учитывайте сценарий атаки и реальное влияние на безопасность. Следующие пункты не рассматриваются:

1. DoS/DDoS атаки на сервисы.
2. Социальная инженерия сотрудников или подрядчиков.
3. Атаки на физические объекты компании без явного разрешения.
4. Атаки, требующие физического доступа к устройству пользователя.
5. Атаки, требующие отключения защиты Man-In-The-Middle (MITM).
6. Проблемы, затрагивающие только устаревшие браузеры или ОС.
7. Отсутствие второстепенных защитных мер (настройки SSL/TLS, SPF/DKIM/DMARC, флаги cookie, Tabnabbing), если не доказано их значительное влияние.
8. Кликджекинг или CSRF на страницах без авторизации и важных действий.
9. Открытые редиректы без доказанного ущерба.
10. Self-XSS и DoS против самого себя (без влияния на других пользователей).
11. Спуфинг контента, инъекции текста или CSV без серьезных последствий.
12. Раскрытие версий ПО, информации в баннерах или подробных сообщений об ошибках (Stack Trace).
13. Проблемы, требующие маловероятного взаимодействия с жертвой.
14. Атаки, требующие от пользователя взаимодействия с контрактом на стороннем вредоносном сайте.
15. Сетевые уязвимости (проблемы самих сетей EVM или Solana).
16. Уязвимости интегрированных DApp (Uniswap, Curve, GMX, 1inch и др.).

Политика раскрытия информации

Запрещено обсуждать данную программу или любые найденные уязвимости (даже исправленные) вне рамок программы без явного согласия организации.