安全悬赏计划

没有任何技术是完美的。在 Cryptohopper，我们高度重视用户资金和数据的安全，并感谢每一位同样致力于安全的研究人员。我们欢迎所有可付诸行动的报告，并且只会对那些具有真实、可证明影响的发现给予奖励。

我们对研究人员的承诺

我们希望安全研究既安全又有价值。如果你遵守本计划中的规则，我们承诺：

• o在收到报告后的 5 个工作日内予以确认
• o在我们进行分类处理并着手修复问题的过程中，及时向您通报进展
• o对于在本计划范围内进行的安全研究，我们不会对你采取民事或刑事法律行动
• o在你公开披露发现之前，请给予我们 30 天时间，以便修复问题并保护我们的用户

我们希望在你公开披露之前，能有一个公平的机会作出回应。如果我们在没有正当理由的情况下错过了30天的期限，我们会与你协商一个协调一致的披露时间表。

我们希望听到的内容

要符合获得奖励的条件，提交内容必须包含可运行的概念验证，以及对攻击者在实际情况下能够做到什么的清晰说明。我们优先关注以下几个方面的发现：

系统入侵

• o远程代码执行
• oSQL注入
• o其他类型的注入（NoSQL、命令、模板注入），并附带可用的利用方式
• oXML 外部实体（XXE）
• o服务器端请求伪造（SSRF）
• oS3 Bucket 访问/上传

账户和数据安全

• o身份验证绕过或未经授权的数据访问
• o不安全的直接对象引用（IDOR）——通过篡改ID访问其他用户的数据
• o会话或令牌缺陷（会话固定、可预测令牌、JWT 误用）导致账号被接管
• o跨站脚本攻击（XSS），可能窃取会话或凭证
• o敏感数据泄露——私钥、API 密钥或个人身份信息（PII）在响应、JS 包或日志中可见

财务影响

允许未授权交易、订单操纵或滥用余额的业务逻辑缺陷

密码学

加密漏洞

如果你能够证明某类漏洞会对用户数据、资金或系统完整性产生明确的、现实世界中的影响，那么其他类型的漏洞也可能符合要求。

在范围内的资产

• owww.cryptohopper.com
• oapi.cryptohopper.com
• oApple 商店中的 iOS 应用程序：cryptohopper-crypto-trading/id1463052050
• oGoogle Play 商店中的 Android 应用程序：com.cryptohopper_mobile

我们不会给予奖励的行为

以下内容不在范围之内。属于这些类别的报告将不会获得赏金，也可能不会收到详细回复。

报告质量

• o没有可用的概念验证——我们需要能够复现该发现
• o仅提供自动化扫描工具（如 Burp、Nessus、Nuclei 等）的输出结果，而没有手动编写的概念验证
• o由人工智能生成或使用模板撰写、且未体现原创且已验证研究的报告
• o重复报告——我们只奖励最先收到的报告
• o自我 XSS —— 只影响报告者本人，对其他用户没有影响
• o已知存在漏洞但尚无可用利用方式的库

范围和环境

• o针对未列入范围的资产进行测试（如预发布环境、合作伙伴网站、第三方集成）
• o需要事先入侵用户设备或账号的问题，除非是由我们的系统直接促成
• o在越狱或已获取 root 权限的设备上，或在使用非标准客户端配置（自定义代理、修改版应用）的情况下出现的问题，除非其影响既严重又现实
• o我们不再支持的已弃用或已终止生命周期产品中的漏洞
• o需要未打补丁环境（例如缺少操作系统更新）或使用超过 6 个月的浏览器版本的攻击向量
• o需要中间人攻击（MiTM）或物理设备访问的攻击

仅限低影响和最佳实践相关问题

• o来自第三方集成的公钥（例如交易所 API 公钥）——这些不是秘密信息，也不构成安全漏洞
• o在不存在现实可行攻击链的情况下的开放重定向（无法窃取令牌，也不存在有意义的网络钓鱼路径）
• o在没有实际攻击场景下的点击劫持
• oCSRF，包括未认证/登录/登出 CSRF
• o用户枚举
• o在未证明存在后续攻击的情况下披露横幅信息、版本信息或堆栈跟踪
• oIP地址或来源泄露
• o在没有明确滥用场景的情况下缺少速率限制
• o在无法证明存在实际影响的情况下，缺少 SSL/TLS、DNS（DKIM/DMARC/SPF）或 HTTP 头相关的最佳实践
• o缺少子资源完整性（SRI），且没有证据表明脚本实际上可能被篡改
• o内容伪造或文本注入
• o没有可用利用方式的CSV注入
• o能够在没有限制的情况下创建账号或发送电子邮件（未展示出被滥用的情况）
• o披露非敏感信息（产品版本、文件路径）
• o通过 HTTPS 向受信任的第三方泄露令牌
• o缺少用户操作通知
• oDoS/DDoS

行为

• o请不要将你的报告与付款要求或披露威胁挂钩。我们会公平对待每一份报告，并仅根据技术价值和影响来决定奖励。附带任何要求或威胁的报告将不具备获得奖励的资格。
• o违反项目规则（未经授权访问数据、在修复前公开披露等）

如何提交

发送电子邮件至 [email protected]。我们将在 5 个工作日内确认收到您的报告。

接下来会发生什么

1. 确认——我们会在 5 个工作日内确认收到
2. 分级处理 — 我们的安全团队会审查并复现该发现
3. 修复 — 我们会着手解决问题，并持续向你更新进展
4. 奖励——如果符合条件，我们会与您沟通并支付赏金
5. 披露——我们要求在任何公开披露前保留 30 天的时间

一份好的报告可以让我们的工程师更容易重现问题并理解其影响。请包括：

1. 影响说明——攻击者实际上可以做什么？（例如：“攻击者可以通过……接管任何账号”）
2. 分步复现——提供精确的操作步骤、请求或最小化脚本
3. 概念验证——可运行的脚本或请求序列
4. 受影响的URL和参数——涉及的完整URL、筛选条件或字段
5. 截图或视频（非常感谢提供）
6. 您的 IP 地址 — 将被保密，仅用于与我们的日志进行关联

内容含糊不清、缺乏明确影响或无法复现的报告将不符合奖励条件，并且可能不会收到详细回复。

规则

请负责任地进行测试。仅使用为发现或证明漏洞所必需的方法。

• o尊重其他用户的隐私——不要访问超出证明问题所绝对必要的数据
• o不要出于自身调查之外的任何目的利用这些漏洞
• o在提交报告后的 30 天内，请勿将漏洞公开或披露给任何第三方；请在我们修复完成之前暂缓公开。
• o请勿通过社会工程手段获取访问权限
• o不要安装后门、修改数据或以任何方式更改系统
• o请勿使用暴力破解技术
• o不要执行拒绝服务测试
• o请自行保管访问权限——不要与他人共享系统访问权限

奖励

我们感谢所有可付诸行动的报告——每一份真实有效的提交都有助于我们保护用户。不过，奖励仅适用于那些具有可证明的、真实世界影响的发现。奖励金额将根据问题的严重程度、影响范围以及报告质量来确定；没有固定的最低或最高限额。

对于影响较小的问题、没有可行利用方式的理论性发现，或自动化或由人工智能生成的报告，我们不提供奖励。

要符合资格，您必须居住在不受相关制裁影响的国家（例如：古巴、伊朗、朝鲜、苏丹、叙利亚除外）。这是一个酌情项目——Cryptohopper 保留在任何时间取消该项目或拒绝发放奖励的权利。

请注意以下几点：

• o当出现重复报告时，只有最先收到的报告会获得奖励
• o源于同一根本原因的多个漏洞将被视为一个发现
• o奖励可以是金钱形式，或是 Cryptohopper 订阅形式，由我们自行决定
• o现金奖励通过 PayPal（全球范围）或银行转账（仅限欧盟）发放