漏洞赏金计划

我们很高兴宣布全新的漏洞赏金计划正式启动！

随着的不断发展，我们致力于为用户提供安全的交易环境，并希望借助社区的专业知识来进一步提升平台安全性。

规则

漏洞奖励将根据漏洞的严重性分为 五个等级，奖励金额如下：

奖励金额如下：

严重: $10,000 - $100,000 USD
高危: $5,000 - $10,000 USD
中等: $500 - $5000 USD
较低: $50 - $500 USD

‍

所有奖励将以 USDC 支付。漏洞等级由 Backpack 安全团队评估，Backpack 保留最终决定权，判断提交的报告是否符合奖励标准。

漏洞范围

以下属于漏洞赏金计划的范围：

标准

报告应重点关注以下类型的漏洞：

可能导致用户资产损失的业务逻辑问题。
支付操作漏洞。
远程代码执行（RCE）。
敏感信息泄露。
关键 OWASP 漏洞，如 XSS、CSRF、SQL 注入（SQLi）、SSRF、IDOR 等。
可能导致潜在资产损失的其他漏洞。

不在赏金计划范围内的漏洞

以下情况不符合漏洞赏金计划的范围：

未经验证的理论漏洞。
电子邮件验证码、过期的密码重置链接、密码复杂性策略漏洞。
点击劫持（Clickjacking）和 UI 重定向（UI Redirection）等影响较小的安全问题。
第三方应用或软件的漏洞。
不到 30 天的 Zero-day 漏洞。
社交工程攻击和钓鱼攻击。
拒绝服务攻击（DoS）。
电子邮件、电话号码或用户名枚举漏洞。
已知漏洞、重复提交的报告或已披露的漏洞。
物理攻击。
只能在旧版浏览器或平台上利用的漏洞。
使用已知代码漏洞但无实际证明。
Cookies 缺少安全标志。
与 SSL/TLS 协议版本相关的不安全问题。
内容欺骗类问题。
缓存管理问题。
内部 IP 或域名泄露。
无法直接被利用的缺少安全头部问题。
对安全性影响极小的 CSRF（如添加收藏、添加购物车、订阅等）。
没有任何安全影响的问题。

‍

我们期待您的参与，并感谢您帮助我们维护一个安全、可信赖的交易环境！

Previous代币上线申请 Next交易费用

Last updated 2 months ago

规则

漏洞奖励将根据漏洞的严重性分为 五个等级，奖励金额如下：

奖励金额如下：

严重: $10,000 - $100,000 USD

高危: $5,000 - $10,000 USD

中等: $500 - $5000 USD

较低: $50 - $500 USD

‍

所有奖励将以 USDC 支付。漏洞等级由 Backpack 安全团队评估，Backpack 保留最终决定权，判断提交的报告是否符合奖励标准。

不在赏金计划范围内的漏洞

以下情况不符合漏洞赏金计划的范围：

未经验证的理论漏洞。

电子邮件验证码、过期的密码重置链接、密码复杂性策略漏洞。

点击劫持（Clickjacking）和 UI 重定向（UI Redirection）等影响较小的安全问题。

第三方应用或软件的漏洞。

不到 30 天的 Zero-day 漏洞。

社交工程攻击和钓鱼攻击。

拒绝服务攻击（DoS）。

电子邮件、电话号码或用户名枚举漏洞。

已知漏洞、重复提交的报告或已披露的漏洞。

物理攻击。

只能在旧版浏览器或平台上利用的漏洞。

使用已知代码漏洞但无实际证明。

Cookies 缺少安全标志。

与 SSL/TLS 协议版本相关的不安全问题。

内容欺骗类问题。

缓存管理问题。

内部 IP 或域名泄露。

无法直接被利用的缺少安全头部问题。

对安全性影响极小的 CSRF（如添加收藏、添加购物车、订阅等）。

没有任何安全影响的问题。

‍

如有任何疑问或漏洞提交，请联系：.

‍

我们期待您的参与，并感谢您帮助我们维护一个安全、可信赖的交易环境！