# 漏洞赏金计划
我们很高兴宣布 全新的漏洞赏金计划 正式启动!
随着 [Backpack 交易所](https://download.backpack.exchange/BQcg/h9ggtmlu) 的不断发展,我们致力于为用户提供 安全的交易环境,并希望借助社区的专业知识来进一步提升平台安全性。
***
## 规则
漏洞奖励将根据漏洞的 严重性 分为 **五个等级**,奖励金额如下:
奖励金额如下:
* **严重**: $10,000 - $100,000 USD
* **高危**: $5,000 - $10,000 USD
* **中等**: $500 - $5000 USD
* **较低**: $50 - $500 USD
所有奖励将以 USDC 支付。漏洞等级由 Backpack 安全团队评估,Backpack 保留最终决定权,判断提交的报告是否符合奖励标准。
***
## 漏洞范围
以下属于漏洞赏金计划的范围:
***
## 标准
**报告应重点关注以下类型的漏洞:**
* 可能导致用户资产损失的业务逻辑问题。
* 支付操作漏洞。
* 远程代码执行(RCE)。
* 敏感信息泄露。
* 关键 OWASP 漏洞,如 XSS、CSRF、SQL 注入(SQLi)、SSRF、IDOR 等。
* 可能导致潜在资产损失的其他漏洞。
***
## 不在赏金计划范围内的漏洞
**以下情况不符合漏洞赏金计划的范围:**
* 未经验证的理论漏洞。
* 电子邮件验证码、过期的密码重置链接、密码复杂性策略漏洞。
* 点击劫持(Clickjacking)和 UI 重定向(UI Redirection)等影响较小的安全问题。
* 第三方应用或软件的漏洞。
* 不到 30 天的 Zero-day 漏洞。
* 社交工程攻击和钓鱼攻击。
* 拒绝服务攻击(DoS)。
* 电子邮件、电话号码或用户名枚举漏洞。
* 已知漏洞、重复提交的报告或已披露的漏洞。
* 物理攻击。
* 只能在旧版浏览器或平台上利用的漏洞。
* 使用已知代码漏洞但无实际证明。
* Cookies 缺少安全标志。
* 与 SSL/TLS 协议版本相关的不安全问题。
* 内容欺骗类问题。
* 缓存管理问题。
* 内部 IP 或域名泄露。
* 无法直接被利用的缺少安全头部问题。
* 对安全性影响极小的 CSRF(如添加收藏、添加购物车、订阅等)。
* 没有任何安全影响的问题。
**如有任何疑问或漏洞提交,请联系:**[**bugbounty@backpack.exchange**](mailto:bugbounty@backpack.exchange)**.**
我们期待您的参与,并感谢您帮助我们 维护一个安全、可信赖的交易环境!
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://support.backpack.exchange/support-docs/cn/jiao-yi-suo/xiang-mu-yu-ji-hua/lou-dong-shang-jin-ji-hua.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
