漏洞赏金计划

我们很高兴宣布 全新的漏洞赏金计划 正式启动！

随着 Backpack 交易所 的不断发展，我们致力于为用户提供 安全的交易环境，并希望借助社区的专业知识来进一步提升平台安全性。

规则

漏洞奖励将根据漏洞的 严重性 分为 五个等级，奖励金额如下：

奖励金额如下：

• 严重: $10,000 - $100,000 USD

• 高危: $5,000 - $10,000 USD

• 中等: $500 - $5000 USD

• 较低: $50 - $500 USD

‍

所有奖励将以 USDC 支付。漏洞等级由 Backpack 安全团队评估，Backpack 保留最终决定权，判断提交的报告是否符合奖励标准。

漏洞范围

以下属于漏洞赏金计划的范围：

标准

报告应重点关注以下类型的漏洞：

• 可能导致用户资产损失的业务逻辑问题。

• 支付操作漏洞。

• 远程代码执行（RCE）。

• 敏感信息泄露。

• 关键 OWASP 漏洞，如 XSS、CSRF、SQL 注入（SQLi）、SSRF、IDOR 等。

• 可能导致潜在资产损失的其他漏洞。

不在赏金计划范围内的漏洞

以下情况不符合漏洞赏金计划的范围：

• 未经验证的理论漏洞。

• 电子邮件验证码、过期的密码重置链接、密码复杂性策略漏洞。

• 点击劫持（Clickjacking）和 UI 重定向（UI Redirection）等影响较小的安全问题。

• 第三方应用或软件的漏洞。

• 不到 30 天的 Zero-day 漏洞。

• 社交工程攻击和钓鱼攻击。

• 拒绝服务攻击（DoS）。

• 电子邮件、电话号码或用户名枚举漏洞。

• 已知漏洞、重复提交的报告或已披露的漏洞。

• 物理攻击。

• 只能在旧版浏览器或平台上利用的漏洞。

• 使用已知代码漏洞但无实际证明。

• Cookies 缺少安全标志。

• 与 SSL/TLS 协议版本相关的不安全问题。

• 内容欺骗类问题。

• 缓存管理问题。

• 内部 IP 或域名泄露。

• 无法直接被利用的缺少安全头部问题。

• 对安全性影响极小的 CSRF（如添加收藏、添加购物车、订阅等）。

• 没有任何安全影响的问题。

‍

如有任何疑问或漏洞提交，请联系：bugbounty@backpack.exchange.

‍

我们期待您的参与，并感谢您帮助我们 维护一个安全、可信赖的交易环境！