KUNA 赏金寻BUG活动 

保证安全是我们的首要任务 – 故我们决定启动赏金寻bug活动,凡找到漏洞均由奖金。 

漏洞披露责任

漏洞披露责任包括:
  1. 在将漏洞发布至他处前给我们足够的时间修复漏洞。
  2. 不泄露或损毁任何KUNA EXCHANGE的用户数据。
  3. 在发现漏洞期间不对KUNA或KUNA 用户实施诈骗。
在遵循以上责任的前提下,为鼓励漏洞的披露,我们承诺不对漏洞发现者采取任何法律措施。 

酬赏

报告新安全漏洞并使我们做出代码或配置更改的最低酬金为50美元。 奖金不设上限,根据漏洞的严重性或创造性,我们会奖励更高的金额。通过展示如何最大程度地利用漏洞,披露者可以得到更大的回报。

酬赏标准如下:

远程执行代码 $5,000
账户资金的严重操控 $2,500
可影响敏感操作的XSS/CSRF/点击劫持 [1] $2,500
窃取特殊信息 [2] $1,500
部分绕开认证 $500
其他 XSS (除了 Self-XSS$500
其他明显可致金融或数据损失的漏洞 $500
其他 CSRF (除了登出 CSRF) $125


[1] 敏感操作包括:存储、交易、发送资金;OAuth或API KEY操作
[2] 特殊信息包括:密码、 API 密钥、银行账号、社保号码或其他。 

适用

所有KUNA Exchange服务,包括API和Exchange,均适用于我们的赏金活动。总地来说,任何可能造成金融或数据泄露的漏洞都具有足够的严重性,包括:  
  • XSS
  • CSRF
  • 认证绕开或权限提升
  • 点击劫持
  • 远程代码执行
  • 窃取用户信息
  • 金融核算错误
 总地来说,下列项目的严重性都不足以构成威胁:
  • Self-XSS
  • 拒绝服务
  • 垃圾邮件
  • 使用KUNA API的第三方应用的漏洞
  • 可获取受害者设备权限的漏洞
  • 登出 CSRF
  • 用户存在/计数的漏洞
  • 密码复杂性要求
  • 自动检测或扫描工具的漏洞报告(不展示漏洞的可利用性)
  • 社会工程对KUNA Exchange或承包商的攻击
 下列域由第三方持有,当前不适用于赏金项目(除非有指向主网站的漏洞):
  • support.kuna.io
  • investors.kuna.io
  • 任何其他非KUNA直接持有或控制的服务
 KUNA Exchange 有权自主决定漏洞是否可支付赏金以及赏金金额。
赏金将以比特币形式发送至你的KUNA Exchange账户中。
报告BUG即意味着你同意遵守以上条款。 

如何报告漏洞你可以通过点击下列链接报告漏洞:

[email protected]

感谢你维护比特币社区的安全!