什么是 Bybit 漏洞赏金计划方法？如何参与该计划？

Bybit 漏洞赏金计划旨在奖励在 Bybit 平台发现漏洞的个人。如果您发现任何潜在的漏洞或漏洞，您可以按照以下步骤参与计划：

 

第 1 步：以简洁有序的格式整合您的所有调查结果。最好提供 GIF 或视频记录。

 

第 2 步：通过此表单提交您的安全报告和调查结果，然后选择API 交易/报告安全漏洞选项。

 

如需录制视频，请将其上传至 Google Drive 并发送可分享链接。欲详细了解如何操作，请点击此处。

 

 

 

Lazarus 赏金计划和 Bybit 漏洞赏金计划是否相同？

不，他们不是同一个赏金计划。Lazarus 赏金计划专为协助识别和冻结非法资金的用户而设计，而 Bybit 漏洞赏金计划则面向在 Bybit 上发现和提交漏洞报告的用户而设计。

 

 

欲详细了解 Lazarus 赏金计划，请参阅本文。

 

 

• 计划规则
• 漏洞等级详情
• 禁止的行为
• 超出范围的漏洞
• 披露政策

 

 

 

 

计划规则

1. 请提供包含可重复步骤的详细报告。如果报告不够详细，无法重现问题，则该问题不符合获得奖励的资格。

2. 每份报告提交一个漏洞，除非您需要将漏洞链接起来才能产生影响。

3. 当重复时，我们仅会提供赏金给收到的第一份报告（前提是可以完整重现）。

4. 一个潜在问题造成的多个漏洞将获得 1 笔赏金。

5. 禁止进行社交工程（例如钓鱼、钓鱼、短信钓鱼）。

6. 竭诚避免隐私违规、数据销毁以及服务中断或降级。仅与您拥有的账户互动，或获得账户持有者的明确许可。

7. 避免使用自动扫描工具，因为无法接受通过此类方式检测的提交。

8. 避免可能影响服务可用性的负面影响或破坏性行为（例如 DoS/DDoS）

9. 测试计划

• 如果您有兴趣测试我们的资产相关功能，但缺少执行测试所需的资产，您可以通过 https://testnet.bybit.com/zh-MY/ 在资产面板中注册账户并申请测试代币。（*请注意，测试网站使用的测试代币没有实际价值。为确保用户获得最佳产品体验，我们选择不实施严格的 2FA 限制。 因此，将不接受在测试网上绕过 2FA 的报告）。

 

 

 

 

 

漏洞等级详情

漏洞获批后，有哪些漏洞赏金？

请参阅下表，了解根据检测到的漏洞等级提供的漏洞赏金。

 

 

 

 

如何定义不同级别的漏洞/漏洞？

欲了解详情，请参阅下表：

 

严重漏洞

严重漏洞是指核心业务系统（核心控制系统、现场控制、业务分配系统、堡垒机或其他可管理大量系统的控制地点）中出现的漏洞。这可能会造成严重影响，获得业务系统控制权限（取决于实际情况）或核心系统管理人员权限，甚至控制核心系统。

 

严重漏洞包括但不限于：

• 多台设备接入内部网络

• 获得核心后端超级管理员访问权限，泄露企业核心数据，造成严重影响

• 智能合约溢出和条件竞争漏洞

 

 

高风险漏洞

• 获得系统访问权限（getshell、命令执行等）

• 系统 SQL 注入（后端漏洞降级，视情况确定包裹提交的优先顺序）

• 未经授权访问敏感信息，包括但不限于通过绕过身份验证直接访问管理背景、暴力攻击后端密码或在内部网络中获取敏感信息的 SSRF 等。

• 任意文件阅读

• XXE 漏洞，可访问任何信息

• 涉及资金或支付逻辑绕过的未经授权的操作（需要成功使用）

• 严重的逻辑设计缺陷和流程缺陷。包括但不限于任何用户登录漏洞、批量账户密码修改漏洞、涉及企业核心业务的逻辑漏洞等，验证码爆炸除外

• 其他对用户产生大规模影响的漏洞。包括但不限于可在重要页面上自动传播的存储 XSS，以及可访问管理员身份认证信息并成功使用的存储 XSS

• 源代码泄漏

• 智能合约中的权限控制缺陷

 

 

中等风险漏洞

• 可能通过交互影响用户的漏洞，包括但不限于在常规页面上存储 XSS、涉及核心业务的 CSRF 等。

• 一般未经授权的操作，包括但不限于修改用户数据，通过绕过限制来执行用户操作

• 拒绝服务漏洞，包括但不限于 Web 应用程序拒绝服务导致的远程拒绝服务漏洞

• 系统敏感操作成功爆炸导致的漏洞，如验证码逻辑缺陷导致的任何账户登录和密码访问等

• 本地存储的敏感身份验证密钥信息泄露，需要有效使用

 

 

低风险漏洞

• 本地拒绝服务漏洞包括但不限于客户端本地拒绝服务（解析文件格式、网络协议产生的崩溃）、Android 组件许可暴露引起的问题、应用程序常规访问等。

• 一般信息泄露不仅限于 Web 路径遍历、系统路径遍历、目录浏览等。

• XSS（包括 DOM XSS/反射 XSS）

• 一般 CSRF

• URL 跳过漏洞

• SMS 炸弹、邮件炸弹（每个系统仅接受一种漏洞）。

• 其他危害较小的漏洞（无法证明，例如无法访问敏感信息的 CORS 漏洞） 

• 无回报价值，也未深入利用成功的 SSRF

 

 

 

 

 

禁止的行为

• 进行社交工程和/或钓鱼

• 漏洞详情泄露

• 漏洞测试仅限于 PoC（概念证明），严禁破坏性测试。如果在测试过程中无意中造成伤害，应及时报告。同时，在测试期间执行的敏感操作，如删除、修改和其他操作，必须在报告中说明

• 使用扫描仪进行大规模扫描。如果业务系统或网络不可用，将根据相关法律进行处理

• 测试漏洞的用户应尽量避免直接修改页面、继续弹出消息框（建议使用 DNSLog 进行 xss 验证）、窃取 Cookie 和/或获取用户信息等攻击性有效负载（如需进行盲法 xss 测试，请使用 dnslog）。如果您意外使用了更具攻击性的有效负载，请立即将其删除。否则，我们有权追究相关法律责任。

 

 

 

 

 

超出范围的漏洞

举报漏洞时，请考虑 (1) 漏洞的攻击场景/漏洞利用性，以及 (2) 漏洞对安全的影响。以下问题被视为超出范围：

• 任何可能导致服务中断的活动 (DoS, DDoS)。

• 除非获得明确授权，否则我们员工或承包商的社会工程。

• 除非获得明确授权，否则会攻击我们的实体设施。

• 需要对用户设备进行物理访问的攻击，除非设备在范围内且明确加强物理访问。

• 需要禁用中间人 (MITM) 保护的攻击。

• 攻击仅影响过时的浏览器或操作系统。

• 缺少最佳做法（SSL/TLS 配置、内容安全策略、cookie 标记、tabnabbing、自动完成属性、发送 SPF/DKIM/DMARC 记录邮件），除非可证明存在重大影响。

• 在未经身份验证的页面/表单上点击劫持或跨站点请求伪造 (CSRF)，无需采取敏感行动。

• 开放重定向，除非能够表现出重大影响。

• 自我利用（自我 XSS、自我拒绝服务等），除非能够证明攻击其他用户的方法。

• 内容欺骗、文本注入和 CSV 注入，除非能够证明其具有重大影响。

• 软件版本披露/横幅识别问题/描述性错误消息或堆栈追踪。

• 需要受害者不太可能进行用户互动的问题。

• 任何需要用户与攻击者控制网站的合约进行交互的攻击

• 排除链特定漏洞（例如 EVM 或 Solana 运行时问题）

• 排除集成的 Dapp 漏洞（例如 Uniswap、Curve、GMX、1inch）

 

 

 

 

 

披露政策

未经组织明确同意，请勿讨论该计划或计划外的任何漏洞（即使是已解决的漏洞）。