什麼是 Bybit 漏洞賞金規劃方法？如何參與該計劃？

Bybit 漏洞賞金計畫旨在獎勵在 Bybit 平台發現漏洞的個人。如果您發現任何潛在的漏洞或漏洞，您可以按照以下步驟參與計劃：

 

第 1 步：以簡潔有序的格式整合您的所有調查結果。最好提供 動圖 或錄影。

 

第 2 步：透過此表單提交您的安全報告和調查結果，然後選擇“API 交易/報告安全漏洞”選項。

 

如需錄製視頻，請將其上傳至 Google Drive 並發送可分享連結。欲詳細了解如何操作，請點擊此處。

 

 

 

Lazarus 賞金計畫和 Bybit 漏洞賞金計畫是否相同？

不，他們不是同一個賞金計劃。 Lazarus 賞金計畫專為協助識別和凍結非法資金的用戶而設計，而 Bybit 漏洞賞金計畫則是針對在 Bybit 上發現和提交漏洞報告的用戶而設計。

如欲詳細了解 Lazarus 賞金計劃，請參閱本文。

 

 

• 計劃規則
• 漏洞等級詳情
• 禁止的行為
• 超出範圍的漏洞
• 揭露政策

 

 

計劃規則

1.請提供包含可重複步驟的詳細報告。如果報告不夠詳細，無法重現問題，則該問題不符合獲得獎勵的資格。

2.每份報告提交一個漏洞，除非您需要將漏洞連結起來才能產生影響。

3.重複時，我們只會提供賞金給收到的第一份報告（前提是可以完整重現）。

4.一個潛在問題造成的多個漏洞將獲得 1 筆賞金。

5.禁止進行社交工程（例如釣魚、釣魚、簡訊釣魚）。

6.竭誠避免隱私違規、資料銷毀以及服務中斷或降級。僅與您擁有的帳戶互動，或獲得帳戶持有者的明確許可。

7.避免使用自動掃描工具，因為無法接受透過此類方式偵測的提交。

8.避免可能影響服務可用性的負面影響或破壞性行為（例如 DoS/DDoS）

9.測試計劃

• 如果您有興趣測試我們的資產相關功能，但缺少執行測試所需的資產，您可以通過 https://testnet.bybit.com/zh-TW/ 在資產面板中註冊帳戶併申請測試代幣。 （*請注意，測試網站使用的測試代幣沒有實際價值。為確保用戶獲得最佳產品體驗，我們選擇不實施嚴格的 2FA 限制。 因此，將不接受在測試網上繞過 2FA 的報告）。
• Web3 相關資產，請參閱 https://www.bybit.com/zh-TW/web3/home。

 

 

 

 

 

漏洞等級詳情

漏洞核准後，有哪些漏洞賞金？

請參閱下表，以了解根據偵測到的漏洞等級提供的漏洞賞金。

 

 

 

 

如何定義不同等級的漏洞/漏洞？

欲了解詳情，請參考下表：

 

嚴重漏洞

嚴重漏洞是指核心業務系統（核心控制系統、現場控制、業務分配系統、堡壘機或其他可管理大量系統的控制地點）中出現的漏洞。這可能會造成嚴重影響，獲得業務系統控制權限（取決於實際情況）或核心系統管理人員權限，甚至控制核心系統。

 

嚴重漏洞包括但不限於：

• 多台設備接取內部網路
• 取得核心後端超級管理員存取權限，洩漏企業核心數據，造成嚴重影響
• 智能合約溢位與條件競爭漏洞

 

 

高風險漏洞

• 取得系統存取權限（getshell、命令執行等）
• 系統 SQL 注入（後端漏洞降級，視情況決定包裹提交的優先順序）
• 未經授權存取敏感訊息，包括但不限於透過繞過身份驗證直接存取管理背景、暴力攻擊後端密碼或在內部網路中獲取敏感資訊的 SSRF 等。
• 任意文件閱讀
• XXE 漏洞，可存取任何訊息
• 涉及資金或支付邏輯繞過的未經授權的操作（需要成功使用）
• 嚴重的邏輯設計缺陷和流程缺陷。包括但不限於任何使用者登入漏洞、大量帳戶密碼修改漏洞、涉及企業核心業務的邏輯漏洞等，驗證碼爆炸除外
• 其他對用戶產生大規模影響的漏洞。包括但不限於可在重要頁面上自動傳播的儲存 XSS，以及可存取管理員身份認證資訊並成功使用的儲存 XSS
• 原始碼洩漏
• 智能合約中的權限控制缺陷

 

 

中度風險漏洞

• 可能透過互動影響使用者的漏洞，包括但不限於在常規頁面上儲存 XSS、涉及核心業務的 CSRF 等。
• 一般未經授權的操作，包括但不限於修改使用者數據，透過繞過限制來執行使用者操作
• 拒絕服務漏洞，包括但不限於 Web 應用程式拒絕服務導致的遠端拒絕服務漏洞
• 系統敏感操作成功爆炸導致的漏洞，如驗證碼邏輯缺陷導致的任何帳戶登入和密碼存取等
• 本機儲存的敏感身份驗證金鑰資訊洩露，需要有效使用

低風險漏洞

• 本機拒絕服務漏洞包括但不限於客戶端本機拒絕服務（解析檔案格式、網路協定產生的崩潰）、Android 元件授權暴露所造成的問題、應用程式常規存取等。
• 一般資訊外洩不僅限於 Web 路徑遍歷、系統路徑遍歷、目錄瀏覽等。
• XSS（含 DOM XSS/反射 XSS）
• 一般 CSRF
• URL 跳過漏洞
• SMS 炸彈、郵件炸彈（每個系統只接受一種漏洞）。
• 其他危害較小的漏洞（無法證明，例如無法存取敏感資訊的 CORS 漏洞）
• 無回報價值，也未深入利用成功的 SSRF

 

禁止的行為

• 進行社交工程和/或釣魚
• 漏洞詳情洩露
• 漏洞測試僅限於 PoC（概念證明），嚴禁破壞性測試。如果在測試過程中無意中造成傷害，應及時報告。同時，在測試期間執行的敏感操作，如刪除、修改和其他操作，必須在報告中說明
• 使用掃描器進行大規模掃描。如果業務系統或網路不可用，將根據相關法律進行處理
• 測試漏洞的使用者應盡量避免直接修改頁面、繼續彈出訊息框（建議使用 DNSLog 進行 xss 驗證）、竊取 Cookie 和/或取得使用者資訊等攻擊性有效負載（如需進行盲法 xss 測試，請使用 dnslog）。如果您意外使用了更具攻擊性的有效負載，請立即將其刪除。否則，我們有權追究相關法律責任。

 

 

 

 

 

超出範圍的漏洞

檢舉漏洞時，請考慮 (1) 漏洞的攻擊場景/漏洞利用性，以及 (2) 漏洞對安全性的影響。以下問題被視為超出範圍：

• 任何可能導致服務中斷的活動 (DoS, DDoS)。
• 除非獲得明確授權，否則我們員工或承包商的社會工程。
• 除非獲得明確授權，否則會攻擊我們的實體設施。
• 需要對用戶設備進行實體存取的攻擊，除非設備在範圍內且明確加強實體存取。
• 需要停用中間人 (MITM) 保護的攻擊。
• 攻擊僅影響過時的瀏覽器或作業系統。
• 缺少最佳做法（SSL/TLS 設定、內容安全性原則、cookie 標記、tabnabbing、自動完成屬性、傳送 SPF/DKIM/DMARC 記錄郵件），除非可證明有重大影響。
• 在未經身份驗證的頁面/表單上點擊劫持或跨站點請求偽造 (CSRF)，無需採取敏感行動。
• 開放重定向，除非能夠表現出重大影響。
• 自我利用（自我 XSS、自我拒絕服務等），除非能夠證明攻擊其他使用者的方法。
• 內容欺騙、文字注入和 CSV 注入，除非能夠證明其具有重大影響。
• 軟體版本揭露/橫幅識別問題/描述性錯誤訊息或堆疊追蹤。
• 需要受害者不太可能進行使用者互動的問題。
• 任何需要使用者與攻擊者控制網站的合約互動的攻擊
• 排除鏈特定漏洞（例如 EVM 或 Solana 運行時問題）
• 排除整合的 Dapp 漏洞（例如 Uniswap、Curve、GMX、1inch）

 

 

 

 

 

揭露政策

未經組織明確同意，請勿討論該計劃或計劃外的任何漏洞（即使是已解決的漏洞）。