Bug Bounty 프로그램

버그 바운티 프로그램 출시를 알리며 여러분의 적극적인 참여와 취약점 제보를 부탁합니다.

제보할 취약점 정보는 [email protected]로 보내주시면, 저희 팀이 신속하게 검토 및 문제를 확인할 예정입니다.

플랫폼 보안에 기여해 주신 것을 소중히 여기며, 신속하게 연락드리겠습니다.

Web Bug Bounty

범위: *.safex.trading

보상금액

심각성 등급
보상 금액

저 위험

50 ~ 100 USDT

중 위험

100 ~ 500 USDT

고 위험

500 ~ 1000 USDT

심각한

1000 ~ 5000 USDT

Web 취약점 정의

심각한 취약점

심각한 취약점은 핵심 업무 시스템 (예: 핵심 제어 시스템, 도메인 컨트롤러, 업무 분배 시스템 및 베스트 호스트)에 존재하는 취약점으로, 이러한 시스템은 대량의 장치를 관리합니다. 이 유형의 취약점은 다음과 같은 광범위한 영향을 미칠 수 있습니다:

  • 비즈니스 시스템에 대한 무단 제어.

  • 핵심 시스템의 관리 권한 획득.

  • 핵심 시스템에 대한 완전한 제어.

예시:

  • 내부 네트워크의 다수 장치 제어.

  • 백엔드 슈퍼 관리자 권한 획득으로 인한 심각한 결과 (예: 기업 핵심 데이터 유출).

  • 스마트 컨트랙트 오버플로우 및 경쟁 조건 취약점.

고위험 취약점

  • 시스템 권한 획득 (예: GetShell, 명령어 실행).

  • 시스템 SQL 인젝션.

  • 민감한 정보에 대한 무단 접근 (예: 인증 우회, 약한 비밀번호, SSRF 취약점).

  • 임의 파일 읽기.

  • 모든 정보 접근이 가능한 XXE 취약점.

  • 무단 거래 또는 자금 관련 결제 로직 우회.

  • 심각한 논리 및 프로세스 설계 결함(예: 임의 사용자 로그인 취약점, 대량 계정 비밀번호 변경).

  • 사용자에게 광범위한 영향을 미치는 기타 취약점(예: 중요 페이지의 저장형 XSS 취약점).

  • 대량의 소스 코드 유출.

  • 스마트 컨트랙트 권한 제어 결함.

중위험 취약점

  • 사용자 상호작용이 필요한 취약점(예: 저장형 XSS, 핵심 비즈니스 프로세스 관련 CSRF).

  • 병렬 권한 부여 작업(예: 제한 우회를 통한 사용자 데이터 수정).

  • 서비스 거부(DoS) 취약점.

  • 인증코드 논리 결함으로 인한 민감한 작업의 무차별 대입 가능성.

  • 로컬 민감 인증 키 정보 유출.

저위험 취약점

  • 로컬 DoS 취약점(예: 클라이언트 크래시).

  • 일반적인 정보 유출(예: 웹 경로 순회, 디렉터리 목록 노출).

  • XSS 취약점(DOM XSS/반사형 XSS 포함).

  • 일반적인 CSRF 취약점.

  • URL 리다이렉션 취약점.

  • SMS 폭탄, 이메일 폭탄(시스템당 한 가지 유형만 허용).

  • 기타 영향이 미미하거나 피해를 입증할 수 없는 취약점.

수용하지 않는 취약점 유형

  • 이메일 위조

  • 사용자 열거 취약점

  • Self-XSS 및 HTML 인젝션

  • CSP 및 SRI 보안 정책 미적용 웹페이지

  • 비민감 작업의 CSRF 문제

  • 단일 Android 애플리케이션 문제 (예: android:allowBackup="true")

  • 이미지 크기 조정으로 인한 요청 지연 문제

  • Nginx 또는 기타 소프트웨어 버전 노출

  • 보안 위험이 없는 기능적 문제

  • SAFEX 직원에 대한 개인적 공격 또는 사회 공학

스마트 계약(Smart Contract) 취약점 정의

심각한(Severe) 취약점

  • 거버넌스 투표 결과 조작

  • 사용자 자금 직접 도난 (정적 또는 동적, 미청구 수익 제외)

  • 자금 영구 동결

  • 채굴자 추출 가치(MEV, Miner Extractable Value)

  • 프로토콜의 자산 부족 (부채 초과)

고위험(High Risk) 취약점

  • 미청구 수익 또는 로열티 도난

  • 미청구 수익 또는 로열티 영구 동결

  • 자금 일시 동결

중위험(Medium Risk) 취약점

  • 토큰 자금 부족으로 인한 스마트 계약 운영 불가

  • 수익 목적의 블록 체인 정체 (블록 채우기)

  • 사용자 또는 프로토콜에 피해를 주는 파괴적 행위 (수익 목적 없음)

  • 가스(Gas) 도난

  • 무제한 가스 소모

저위험(Low Risk) 취약점

  • 약속한 수익 미제공 (실제 가치 손실 없음)

정보(Informational) 취약점

  • 제3자 오라클의 잘못된 데이터 제공

  • 기본적인 경제/거버넌스 공격 영향 (예: 51% 공격)

  • 유동성 부족 영향

  • 사일(Sybil) 공격 영향

  • 중앙화 리스크

  • 모범 사례 권고

금지 행위

  • 사회 공학 또는 피싱 활동 참여

  • 취약점의 구체적인 정보 공개

  • 파괴적 테스트 (개념 증명(PoC)만 허용)

  • 스캔 도구를 사용하지 않은 대규모 스캔

  • 웹 페이지 직접 수정, 지속적 팝업 메시지 표시, 쿠키 탈취 또는 침습적 페이로드 사용

테스트 과정에서 예상치 못한 피해 발생 시 즉시 보고해야 함. 규정 미준수 시 법적 조치가 취해질 수 있음

함께 더 안전한 SAFEX를 만들어가요!

여러분의 보안 기여에 감사드립니다. 우리와 함께 더 안전한 암호화 생태계를 구축해 나가요!

문의 이메일: [email protected]

공식 웹사이트: safex.trading

Previous디지털 자산 거래에서 흔히 발생하는 사기 유형Next우리에 관하여

Last updated