Topik
    Program Bounty Bug Bybit
    bybit2025-08-01 13:42:57

    Apa itu metodologi program Bounty Bug Bybit dan bagaimana Anda dapat berpartisipasi dalam program ini?

    Program Bounty Bug Bybit dirancang untuk memberikan hadiah kepada individu yang mengidentifikasi kerentanan di platform Bybit. Jika Anda melihat adanya potensi kerentanan atau bug, Anda dapat berpartisipasi dalam program dengan mengikuti langkah-langkah berikut:

     

    Langkah 1: Konsolidasikan semua temuan Anda dalam format yang rapi dan teratur. Menyediakan GIF atau rekaman video bug akan sangat dihargai. 

     

    Langkah 2: Kirimkan laporan keamanan dan temuan Anda melalui formulir  ini dan pilih opsi “Perdagangan API/Laporan Kerentanan Keamanan”.

     

    Untuk perekaman video, silakan mengunggahnya ke Google Drive dan mengirimkan tautan yang dapat dibagikan kepada kami. Untuk mendapatkan informasi selengkapnya tentang cara melakukannya, silakan kunjungi di sini.

     

     

     

    Apakah Program LazarusBounty dan Program Bounty Bug Bybit sama?

    Tidak, ini bukan program hadiah yang sama. Program LazarusBounty dirancang untuk mereka yang membantu mengidentifikasi dan membekukan dana terlarang, sedangkan Program Bounty Bug Bybit dirancang untuk mereka yang melihat dan mengirimkan laporan kerentanan di Bybit. 


    Untuk mendapatkan informasi selengkapnya tentang Program LazarusBounty , silakan membaca artikel ini.

     

     



     

     

    Aturan Program

    1. Harap memberikan laporan terperinci dengan langkah-langkah yang dapat direproduksi. Jika laporan tidak cukup detail untuk mereproduksi masalah, masalah tersebut tidak akan memenuhi syarat untuk mendapatkan hadiah.

    2. Kirimkan satu kerentanan per laporan, kecuali jika Anda perlu merangkai kerentanan untuk memberikan dampak.

    3. Ketika duplikat terjadi, kami hanya menghadiahkan laporan pertama yang diterima (dengan syarat laporan tersebut dapat direproduksi sepenuhnya).

    4. Beberapa kerentanan yang disebabkan oleh satu masalah mendasar akan diberikan satu hadiah bounty.

    5. Rekayasa sosial (misalnya phishing, vishing, smishing) tidak diperkenankan.

    6. Lakukan upaya dengan iktikad baik untuk menghindari pelanggaran privasi, pemusnahan data, dan gangguan atau degradasi layanan kami. Hanya berinteraksi dengan akun yang Anda miliki atau dengan izin eksplisit dari pemegang akun.

    7. Hindari menggunakan alat pemindaian otomatis, karena pengiriman yang diidentifikasi melalui cara tersebut tidak dapat diterima.

    8. Hindari dampak negatif atau tindakan mengganggu yang dapat memengaruhi ketersediaan layanan kami (misalnya DoS/DDoS)

    9. Rencana Uji

    • Jika Anda tertarik untuk menguji fitur terkait aset kami, tetapi tidak memiliki aset yang diperlukan untuk melakukan pengujian, Anda dapat mendaftarkan akun dan menerapkan token uji di dasbor aset melalui https://testnet.bybit.com. (*Harap diperhatikan bahwa Testnet menggunakan koin uji yang tidak memiliki nilai nyata. Untuk memastikan pengguna menikmati pengalaman optimal dengan produk kami, kami memilih untuk tidak memberlakukan pembatasan 2FA yang ketat. Akibatnya, laporan pengabaian 2FA pada Testnet tidak akan diterima).

     

     

     

     

     

    Detail tentang Tingkat Kerentanan

    Apa saja bounty bug yang diberikan ketika kerentanan disetujui?

    Silakan lihat tabel di bawah ini untuk mengetahui bounty bug yang tersedia berdasarkan tingkat kerentanan yang terdeteksi.

     

    Level

    Bounty

    Rendah

    150 hingga 600 USDT

    Sedang

    600 hingga 1.500 USDT

    Tinggi

    1.500 hingga 5.000 USDT

    Penting

    5.000 hingga 10.000 USDT

     

     

     

    Bagaimana berbagai tingkat bug/kerentanan didefinisikan?

    Silakan lihat daftar di bawah ini untuk mendapatkan informasi selengkapnya:

     

    Kerentanan Kritis

    Kerentanan kritis mengacu pada kerentanan yang terjadi dalam sistem bisnis inti (sistem kontrol inti, kontrol lapangan, sistem distribusi bisnis, mesin benteng, atau lokus kontrol lain yang dapat mengelola sejumlah besar sistem). Hal ini dapat menyebabkan dampak yang parah, mendapatkan akses kontrol sistem bisnis (tergantung pada situasi aktual) atau akses staf manajemen sistem inti, dan bahkan mengontrol sistem inti.

     

    Kerentanan kritis termasuk, tetapi tidak terbatas pada:

    • Beberapa perangkat mengakses jaringan internal

    • Mendapatkan akses inti administrator super back-end, membocorkan data inti perusahaan, dan menyebabkan dampak yang parah

    • Overflow kontrak pintar dan kerentanan persaingan bersyarat

     

     

    Kerentanan Berisiko Tinggi

    • Dapatkan akses sistem (getshell, eksekusi perintah, dll.)

    • Injeksi SQL sistem (degradasi kerentanan back-end, penentuan prioritas pengiriman paket yang sesuai)

    • Mendapatkan akses tanpa izin ke informasi sensitif, termasuk tetapi tidak terbatas pada akses langsung ke latar belakang manajemen dengan mengabaikan autentikasi, kata sandi back-end yang dapat diserang brute force, atau mendapatkan SSRF informasi sensitif di jaringan internal, dll.

    • Pembacaan dokumen arbitrer

    • Kerentanan XXE yang dapat mengakses informasi apa pun

    • Operasi tanpa izin yang melibatkan pemintasan logika uang atau pembayaran (perlu berhasil digunakan)

    • Cacat desain logis serius dan cacat proses. Ini termasuk, tetapi tidak terbatas pada, kerentanan login pengguna, kerentanan modifikasi kata sandi akun batch, kerentanan logika yang melibatkan bisnis inti perusahaan, dll., kecuali untuk eksplosi kode verifikasi

    • Kerentanan lain yang memengaruhi pengguna dalam skala besar. Ini termasuk tetapi tidak terbatas pada XSS penyimpanan yang dapat disebarkan secara otomatis pada halaman penting, dan XSS penyimpanan yang dapat mengakses informasi autentikasi administrator dan berhasil digunakan

    • Kebocoran kode sumber

    • Kecacatan kontrol izin dalam kontrak pintar

     

     

    Kerentanan Risiko Sedang

    • Kerentanan yang dapat memengaruhi pengguna berdasarkan interaksi, termasuk tetapi tidak terbatas pada XSS penyimpanan di laman umum, CSRF yang melibatkan bisnis inti, dll.

    • Operasi umum tanpa izin, tidak terbatas pada pemodifikasian data pengguna dan melakukan operasi pengguna dengan mengabaikan pembatasan

    • Kerentanan penolakan layanan, termasuk tetapi tidak terbatas pada kerentanan penolakan layanan jarak jauh yang disebabkan oleh penolakan layanan aplikasi web

    • Kerentanan yang disebabkan oleh eksplosi sukses dengan operasi sistem yang sensitif, seperti login akun dan akses kata sandi, dll., karena cacat logika kode verifikasi

    • Kebocoran informasi kunci autentikasi yang disimpan secara lokal dan sensitif, yang harus tersedia untuk penggunaan yang efektif



    Kerentanan Berisiko Rendah

    • Kerentanan penolakan layanan lokal termasuk tetapi tidak terbatas pada, penolakan layanan lokal klien (format file parsing, crash yang disebabkan oleh protokol jaringan), masalah yang disebabkan oleh paparan izin komponen Android, akses aplikasi umum, dll.

    • Kebocoran informasi umum tidak terbatas pada lalu lintas jalur Web, lalu lintas jalur sistem, penjelajahan direktori, dll.

    • XSS (termasuk XSS DOM/XSS Tercermin)

    • CSRF Umum

    • Kerentanan lompatan URL

    • Bom SMS, bom surat (setiap sistem hanya menerima satu jenis kerentanan ini).

    • Kerentanan lain yang tidak terlalu berbahaya (dan tidak dapat dibuktikan, seperti kerentanan CORS yang tidak dapat mengakses informasi sensitif) 

    • Tidak ada nilai imbal hasil dan tidak ada pemanfaatan SSRF secara mendalam

     





    Perilaku yang Dilarang

    • Melakukan rekayasa sosial dan/atau terlibat dalam phishing

    • Detail kerentanan yang bocor

    • Pengujian kerentanan terbatas pada PoC (bukti konsep), dan pengujian destruktif sangat dilarang. Jika kerusakan disebabkan secara tidak sengaja selama pengujian, maka harus dilaporkan tepat waktu. Sementara itu, operasi sensitif yang dilakukan selama pengujian, seperti penghapusan, modifikasi, dan operasi lain, harus dijelaskan dalam laporan

    • Menggunakan pemindai untuk pemindaian skala besar. Jika sistem atau jaringan bisnis tidak tersedia, sistem atau jaringan tersebut akan ditangani sesuai dengan undang-undang yang relevan

    • Mereka yang menguji kerentanan harus berusaha untuk menghindari memodifikasi halaman secara langsung, terus memunculkan kotak pesan (DNSLog direkomendasikan untuk verifikasi xss), mencuri cookie, dan/atau mendapatkan muatan agresif seperti informasi pengguna (untuk pengujian blind xss, harap menggunakan dnslog). Jika Anda tidak sengaja menggunakan muatan yang lebih agresif, harap segera menghapusnya. Jika tidak, kami berhak untuk mengajukan kewajiban hukum terkait.

     

     

     

     

     

    Kerentanan di luar cakupan

    Saat melaporkan kerentanan, harap mempertimbangkan (1) skenario serangan/eksploitasi, dan (2) dampak keamanan bug. Masalah berikut dianggap tidak termasuk dalam cakupan:

    • Setiap aktivitas yang dapat menyebabkan gangguan layanan kami (DoS, DDoS).

    • Rekayasa sosial karyawan atau kontraktor kami, kecuali jika diizinkan secara eksplisit.

    • Serangan terhadap fasilitas fisik kami, kecuali jika diizinkan secara eksplisit.

    • Serangan yang memerlukan akses fisik ke perangkat pengguna, kecuali jika perangkat berada dalam cakupan (in-scope) dan secara eksplisit mengeras terhadap akses fisik.

    • Serangan yang memerlukan perlindungan Man In The Middle (MITM).

    • Serangan hanya memengaruhi peramban atau sistem operasi lama.

    • Praktik terbaik yang hilang (konfigurasi SSL/TLS, Kebijakan Keamanan Konten, bendera cookie, tabnabbing, atribut autocomplete, catatan email SPF/DKIM/DMARC), kecuali jika dampak signifikan dapat ditunjukkan.

    • Clickjacking atau Pemalsuan Permintaan Lintas Situs (CSRF) pada laman/formulir yang tidak terotentikasi tanpa adanya tindakan sensitif.

    • Buka pengalihan, kecuali ada dampak yang signifikan.

    • Eksploitasi mandiri (XSS mandiri, self-denial-of-service (penolakan layanan mandiri), dll.), kecuali jika metode untuk menyerang pengguna lain dapat ditunjukkan.

    • Spoofing konten, injeksi teks, dan injeksi CSV, kecuali jika ada dampak yang signifikan.

    • Pengungkapan versi perangkat lunak / Masalah identifikasi Banner / Pesan kesalahan deskriptif atau jejak tumpukan.

    • Masalah yang memerlukan interaksi pengguna yang kecil kemungkinannya oleh korban.

    • Setiap serangan yang mengharuskan pengguna untuk berinteraksi dengan kontrak dari situs web yang dikendalikan oleh penyerang

    • Kerentanan rantai spesifik tidak termasuk (misalnya, masalah waktu pengoperasian EVM atau Solana)

    • Kerentanan Dapp Terpadu tidak termasuk (misalnya Uniswap, Curve, GMX, 1inch)

     

     

     

     

     

    Kebijakan Pengungkapan

    Mohon untuk tidak membahas program ini atau kerentanan apa pun (bahkan yang telah diselesaikan) di luar program tanpa persetujuan tegas dari organisasi.

    Apakah ini membantu?
    yesYayesTidak
    Artikel Terkait
    Pemecahan Masalah: Memperoleh File Har dari Browser Web Anda
    Pemecahan Masalah: Kirim Video Rekaman Layar Anda kepada Bybit
    Cara Menghapus Cache dan Cookie untuk Berbagai Peramban