search

YUBIT Bug-Bounty-Programm

hashtag
YUBIT Bug-Bounty-Programm

Wir freuen uns, den Start des YUBIT Bug-Bounty-Programms bekannt zu geben, und laden Sicherheitsforscher sowie Mitglieder der Community herzlich ein, sich durch das Melden von Sicherheitslücken zu beteiligen.

📩 Bitte senden Sie Sicherheitsmeldungen an: [email protected]envelope

Unser Sicherheitsteam prüft und validiert alle Einsendungen zeitnah und wird Sie nach erfolgreicher Bestätigung kontaktieren. Ihr Beitrag zur Sicherheit der Plattform wird ausdrücklich geschätzt.

hashtag
1. Web Bug Bounty

hashtag
Testumfang

hashtag
Belohnungsspanne

  • Geringes Risiko: 50–100 USD

  • Mittleres Risiko: 100–500 USD

  • Hohes Risiko: 500–1.000 USD

  • Kritisch: 1.000–5.000 USD

hashtag
2. Schweregraddefinitionen für Web-Schwachstellen

hashtag
(1) Kritische Schwachstellen

Betreffen zentrale Geschäftssysteme (z. B. Kontrollsysteme, Domain-Controller, Verteilungssysteme, Bastion Hosts usw.) und können erheblichen Schaden verursachen.

Mögliche Auswirkungen:

  • Unautorisierte Kontrolle über Geschäftssysteme

  • Zugriff auf Administratorrechte zentraler Systeme

  • Vollständige Kontrolle über die Kerninfrastruktur

Beispiele:

  • Kontrolle über mehrere Geräte im internen Netzwerk

  • Zugriff auf Backend-Super-Admin-Rechte mit massiven Datenlecks

  • Smart-Contract-Überläufe oder Race-Condition-Exploits

hashtag
(2) Schwachstellen mit hohem Risiko

  • Privilegieneskalation (GetShell, Command Execution)

  • SQL-Injection

  • Authentifizierungs-Bypass, schwache Passwörter, SSRF, Offenlegung sensibler Daten

  • Beliebiger Dateizugriff / XXE

  • Unautorisierte Transaktionen oder Umgehung der Zahlungslogik

  • Schwere Logikfehler (z. B. Login als beliebiger Nutzer, Massen-Passwort-Resets)

  • Gespeichertes XSS mit großer Reichweite

  • Umfangreiche Quellcode-Leaks

  • Fehlkonfigurationen von Smart-Contract-Berechtigungen

hashtag
(3) Schwachstellen mit mittlerem Risiko

  • Schwachstellen mit Benutzerinteraktion (z. B. Stored XSS, CSRF)

  • Horizontale oder parallele Autorisierungsumgehung

  • Denial-of-Service-Angriffe (DoS)

  • CAPTCHA-Schwächen mit Brute-Force-Potenzial

  • Lokale Offenlegung sensibler Schlüssel

hashtag
(4) Schwachstellen mit geringem Risiko

  • Lokaler DoS (Client-Abstürze)

  • Geringfügige Informationslecks (Path Traversal, Directory Listing)

  • Reflektiertes oder DOM-basiertes XSS

  • Einfache CSRF

  • URL-Weiterleitungsprobleme

  • SMS-/E-Mail-Spam (systemseitig begrenzt)

  • Sonstige geringfügige oder nicht eindeutig nachgewiesene Schwachstellen

hashtag
3. Nicht akzeptierte Schwachstellen

  • E-Mail-Spoofing

  • User Enumeration

  • Self-XSS / HTML-Injection

  • Fehlende CSP- oder SRI-Header

  • Nicht sicherheitsrelevante CSRF

  • Android-Konfigurationsprobleme (z. B. android:allowBackup="true")

  • Reine Performance-Probleme (z. B. langsames Laden von Bildern)

  • Offenlegung von Versionsinformationen von Drittkomponenten (z. B. Nginx-Version)

  • Funktionale Fehler ohne Sicherheitsrelevanz

  • Social-Engineering-Angriffe gegen YUBIT-Mitarbeiter

hashtag
4. Schweregraddefinitionen für Smart-Contract-Schwachstellen

hashtag
(1) Kritisch

  • Manipulation von Governance-Abstimmungen

  • Direkter Diebstahl von Nutzervermögen (ausgenommen nicht beanspruchte Rewards)

  • Dauerhafte Sperrung von Vermögenswerten

  • Ausnutzung von Miner Extractable Value (MEV)

  • Insolvenz des Protokolls

hashtag
(2) Hohes Risiko

  • Diebstahl oder Sperrung nicht beanspruchter Rewards oder Lizenzgebühren

  • Vorübergehende Sperrung von Vermögenswerten

hashtag
(3) Mittleres Risiko

  • Vertragsaussetzung aufgrund von Token-Erschöpfung

  • Ausnutzung von Netzwerküberlastungen zur Gewinnerzielung

  • Gas-Diebstahl oder erzwungene übermäßige Gas-Nutzung

  • Störende, nicht profitorientierte Sabotagehandlungen

hashtag
(4) Geringes Risiko

  • Kein direkter Vermögensverlust, jedoch Beeinträchtigung von Vertrauen oder Verpflichtungen

  • Informationsbezogene Risiken (z. B. Oracle-Fehler, Governance-Angriffe, Liquiditätsrisiken, Sybil-Angriffe usw.)

  • Empfehlungen zu bewährten Sicherheitspraktiken

hashtag
5. Verbotene Aktivitäten

  • Social-Engineering- oder Phishing-Angriffe

  • Öffentliche Offenlegung oder Verbreitung von Schwachstellendetails

  • Destruktive Tests (ausschließlich Proof-of-Concept-Tests sind zulässig)

  • Unautorisierte großflächige Scans

  • Manipulation von Webseiten, Popup-Flooding, Cookie-Diebstahl oder invasive Payloads

  • Nicht gemeldete Schäden während der Testphase

⚠️ Die Nichteinhaltung dieser Regeln kann rechtliche Konsequenzen nach sich ziehen.

hashtag
6. Abschließender Hinweis

Vielen Dank für Ihren Beitrag zur Sicherheit der YUBIT-Plattform. Gemeinsam können wir ein sichereres und transparenteres Krypto-Ökosystem aufbauen.

PreviousEinführung in EarnNextÜber uns

Last updated