Bug Bounty 计划

我们很高兴宣布推出 YUBIT Bug Bounty 计划，并鼓励大家积极参与、提交漏洞报告。 请将漏洞信息发送至：[email protected] 我们的安全团队将及时审核与验证问题，并在确认后与您取得联系。 您的安全贡献对我们至关重要！

一、Web Bug Bounty

1. 测试范围

www.yubit.com

2. 奖励金额

二、Web 漏洞等级定义

（1）严重漏洞

影响核心业务系统（如控制系统、域控制器、业务分发系统、堡垒主机等），可造成重大损失。

可能结果：

• 未经授权控制业务系统

• 获取核心系统管理权限

• 完全控制核心系统

示例：

• 控制内部网络中的多个设备

• 获取后端超级管理员权限，导致关键数据泄露

• 智能合约溢出、竞争条件漏洞

（2）高风险漏洞

• 系统权限获取（GetShell、命令执行）

• SQL 注入

• 绕过认证、弱密码、SSRF 等敏感信息访问

• 任意文件读取、XXE 任意信息访问

• 未经授权的交易、支付逻辑绕过

• 严重逻辑设计缺陷（如任意用户登录、批量修改密码）

• 存储型 XSS（影响广泛）

• 源代码大规模泄露

• 智能合约权限控制缺陷

（3）中风险漏洞

• 需用户交互的漏洞（如存储型 XSS、CSRF）

• 并行授权漏洞（可绕过用户数据修改限制）

• 拒绝服务（DoS）

• 验证码逻辑缺陷导致暴力破解

• 本地敏感认证密钥泄露

（4）低风险漏洞

• 本地 DoS（客户端崩溃）

• 常规信息泄露（路径遍历、目录浏览）

• XSS（DOM / 反射型）

• 普通 CSRF

• URL 重定向漏洞

• 短信 / 邮件炸弹（每系统限一种类型）

• 其他影响较小或无法证明危害的漏洞

三、不接受的漏洞类型

• 邮件伪造

• 用户枚举

• Self-XSS / HTML 注入

• 缺少 CSP / SRI 安全策略

• 非敏感操作的 CSRF

• Android 应用配置问题（如 android:allowBackup="true")

• 仅影响性能的问题（如图片缩放导致请求缓慢）

• 第三方组件版本泄露（如 Nginx 版本）

• 无安全影响的功能问题

• 对 YUBIT 员工 的社会工程攻击

四、智能合约漏洞等级定义

（1）严重漏洞

• 治理投票结果操纵

• 直接窃取用户资金（不含未申领收益）

• 永久冻结资金

• 矿工可提取价值（MEV）

• 协议资不抵债

（2）高风险漏洞

• 窃取或冻结未申领收益 / 版税

• 暂时冻结资金

（3）中风险漏洞

• 智能合约因缺乏代币无法运行

• 利用区块堵塞牟利

• 无盈利动机的破坏行为

• 窃取 Gas

• 无限消耗 Gas

（4）低风险漏洞

• 未造成资金损失但影响合约承诺

• 信息类漏洞（预言机错误、治理攻击、流动性风险、Sybil 攻击等）

• 最佳实践性安全建议

五、禁止行为

• 社会工程或钓鱼攻击

• 公布或传播漏洞细节

• 破坏性测试（仅允许 PoC）

• 使用未授权的扫描器进行大规模扫描

• 修改网页、弹窗轰炸、窃取 Cookie、使用侵入性 Payload

若测试过程中造成意外损害，请立即报告。 未遵守规则可能导致法律后果。

六、结语

感谢您为维护 YUBIT 平台安全 所做的努力。 让我们携手共建一个更加安全、透明的加密生态系统。