search

NewCoin Bug Bounty 计划

我们很高兴宣布推出 NewCoin Bug Bounty(漏洞赏金)计划,并诚挚邀请全球安全研究人员、白帽黑客参与漏洞挖掘与安全共建。

如您在测试过程中发现安全漏洞,请将完整的漏洞信息提交至官方邮箱:

newcoinmkt@gmail.com

NewCoin 安全团队将在收到报告后进行审核与验证,并在确认漏洞有效后与您取得联系并发放相应奖励。

您的安全贡献,对 NewCoin 至关重要。

hashtag
一、Web Bug Bounty 计划

hashtag
1. 测试范围

  • NewCoin 官方网站

  • 官方 Web 交易与账户系统

hashtag
2. 漏洞奖励标准

漏洞严重等级
奖励范围(USDT)

低风险

50 – 100

中风险

100 – 500

高风险

500 – 1,000

严重

1,000 – 5,000

最终奖励金额将根据漏洞影响范围、利用难度及实际危害综合评估。

hashtag
二、Web 漏洞等级定义

hashtag
(1)严重漏洞(Critical)

影响 NewCoin 核心业务系统或关键基础设施,可能造成重大资产或系统风险。

可能结果包括:

  • 未经授权控制核心业务系统

  • 获取核心系统最高管理权限

  • 完全接管关键业务模块

示例:

  • 控制内部网络中的多个关键设备

  • 获取后端超级管理员权限,导致核心数据泄露

  • 智能合约溢出、竞争条件等致命漏洞

hashtag
(2)高风险漏洞(High)

可直接影响系统安全、用户资产或业务逻辑完整性。

包括但不限于:

  • 系统权限获取(GetShell、命令执行)

  • SQL 注入

  • 身份认证绕过、弱密码、SSRF

  • 任意文件读取、XXE 任意信息访问

  • 未经授权的交易、支付或资金操作

  • 严重业务逻辑缺陷(如任意用户登录、批量修改密码)

  • 大范围影响的存储型 XSS

  • 源代码大规模泄露

  • 智能合约权限控制缺陷

hashtag
(3)中风险漏洞(Medium)

需特定条件或用户交互,可能造成一定安全影响。

包括但不限于:

  • 需用户交互的漏洞(如存储型 XSS、CSRF)

  • 并行授权缺陷(绕过用户数据修改限制)

  • 拒绝服务攻击(DoS)

  • 验证码逻辑缺陷导致暴力破解

  • 本地或配置导致的敏感认证密钥泄露

hashtag
(4)低风险漏洞(Low)

影响较小,或难以证明可直接造成严重后果。

包括但不限于:

  • 本地 DoS(客户端崩溃)

  • 一般信息泄露(路径遍历、目录浏览)

  • DOM / 反射型 XSS

  • 普通 CSRF

  • URL 重定向漏洞

  • 短信 / 邮件轰炸(同类问题每系统仅计一次)

  • 其他无法直接证明安全影响的漏洞

hashtag
三、不接受的漏洞类型

以下问题不纳入 Bug Bounty 计划范围:

  • 邮件伪造

  • 用户枚举

  • Self-XSS / HTML 注入

  • 缺少 CSP / SRI 等安全策略

  • 非敏感操作的 CSRF

  • Android 应用配置问题(如 android:allowBackup="true"

  • 仅影响性能的问题(如图片缩放导致请求缓慢)

  • 第三方组件版本信息暴露(如 Nginx 版本)

  • 无安全影响的功能缺陷

  • 针对 NewCoin 员工的社会工程攻击

hashtag
四、智能合约漏洞等级定义

hashtag
(1)严重漏洞(Critical)

  • 操纵治理或投票结果

  • 直接窃取用户资金(不含未申领收益)

  • 永久冻结用户资金

  • 矿工可提取价值(MEV)

  • 协议整体资不抵债

hashtag
(2)高风险漏洞(High)

  • 窃取或冻结未申领收益 / 版税

  • 暂时性冻结用户资金

hashtag
(3)中风险漏洞(Medium)

  • 合约因代币不足而无法正常运行

  • 利用区块拥堵牟利

  • 无直接盈利动机的破坏性行为

  • 窃取 Gas 或无限消耗 Gas

hashtag
(4)低风险漏洞(Low)

  • 未造成直接资金损失但影响合约承诺

  • 信息类问题(预言机错误、治理攻击、流动性风险、Sybil 攻击等)

  • 最佳实践与安全加固建议

hashtag
五、禁止行为

为保障平台与用户安全,测试过程中 严禁以下行为

  • 社会工程或钓鱼攻击

  • 公开、传播或售卖漏洞细节

  • 破坏性测试(仅允许 PoC 验证)

  • 使用未授权扫描器进行大规模扫描

  • 修改网页内容、弹窗轰炸、窃取 Cookie

  • 使用高侵入性或破坏性 Payload

如测试过程中造成任何意外影响,请立即向 NewCoin 报告。 违反上述规则的行为,可能导致奖励取消,甚至承担法律责任。

hashtag
六、结语

感谢您为 NewCoin 平台安全 所做出的贡献。 我们期待与全球安全研究者携手,共同构建一个 更安全、更透明、更可信赖的加密资产生态系统

NewCoin 安全团队

Previous收不到官方邮件怎么办?Next关于我们

Last updated