Программа Bug Bounty
Шкала вознаграждений
Финальная сумма определяется командой безопасности с учётом реального риска и качества отчёта
- Уязвимости финансовой логики
- Доступ к инфраструктуре
- Remote Code Execution
- Обход 2FA
- Захват аккаунта
- Утечка ключей
- Манипуляция ордерами
- IDOR к данным
- Обход лимитов
- Данные пользователей
- Stored XSS
- CSRF (некритичные)
- Info disclosure
Область действия
Что входит и не входит в программу Bug Bounty
В скоупе
- Основной домен и поддомены платформы
- API платформы — REST, WebSocket
- Смарт-контракты и bridge-интеграции
- Мобильные и десктоп приложения
- Партнёрские инстансы (по согласованию)
Исключения
- UI/UX баги без влияния на безопасность
- Rate limiting без реального импакта
- Self-XSS без вектора атаки
- Теоретические атаки без PoC
- Автоматические отчёты сканеров
- Социальная инженерия, фишинг
Требования к отчётам
Качественный отчёт ускоряет обработку и увеличивает шансы на максимальную выплату
Описание уязвимости
Тип и затронутый компонент (API, контракт, UI)
Пошаговое воспроизведение
Детальные шаги с минимальным PoC
Оценка импакта
Что может получить атакующий
Доказательства
Скриншоты, видео, логи, tx hash
Правила тестирования
Нарушение правил = дисквалификация + возможные правовые последствия
Только свои аккаунты
Не затрагивайте других пользователей
Используйте testnet
Для смарт-контрактов где возможно
Минимальный PoC
Доказать возможность, не эксплуатировать
Критические баги
Немедленно сообщите, не продолжайте
DDoS / нагрузка
Только по согласованию
Конфиденциальность
Write-up через 90 дней после fix
Сроки обработки
Критические уязвимости обрабатываются в приоритетном порядке
Каналы связи
Нашли уязвимость? Свяжитесь с нами. Мы гарантируем конфиденциальность.
Дубликаты: Оплачивается первый валидный отчёт. Разные endpoints с одинаковым root cause = один отчёт.
Правила могут быть изменены без уведомления. Участие = согласие с условиями. Не является публичной офертой. Администрация оставляет право отказать в выплате при нарушении правил.