Tópicos
    Programa de recompensas de bugs da Bybit
    bybit2025-08-01 13:53:59

    O que é a metodologia do programa Bybit Bug Bounty e como você pode participar do programa?

    O programa Recompensa por bugs da Bybit foi criado para recompensar indivíduos que identificarem vulnerabilidades na plataforma da Bybit. Se você notar qualquer possível vulnerabilidade ou bug, poderá participar do programa seguindo estas etapas:

     

    1o passo: Consolide todas as suas descobertas em um formato organizado e organizado. O fornecimento de GIFs ou gravações em vídeo do bug será mais apreciado. 

     

    2o passo: Envie seu relatório de segurança e descobertas por meio deste formulário e selecione a opção “Trading de API / Denuncie uma vulnerabilidade de segurança”.

     

    Para gravações de vídeo, carregue-o no Google Drive e envie-nos o link compartilhável. Para mais informações sobre como fazer isso, acesse aqui.

     

     

     

    O Programa de Recompensas Lazarus e o Programa de Recompensas Bybit são os mesmos?

    Não, eles não são o mesmo programa de recompensas. O Programa de Recompensas Lazarus foi criado para aqueles que ajudam a identificar e congelar fundos ilícitos, enquanto o Programa de Recompensas por Bug da Bybit foi criado para aqueles que observam e enviam denúncias de vulnerabilidades na Bybit. 


    Para obter informações mais detalhadas sobre o Programa LazarusBounty, consulte este artigo.

     

     



     

     

    Regras do programa

    1. Forneça relatórios detalhados com etapas reproduzíveis. Se o relatório não for detalhado o suficiente para reproduzir o problema, o problema não será elegível para uma recompensa.

    2. Envie uma vulnerabilidade por denúncia, a menos que você precise fazer encadeamento de vulnerabilidades para causar impacto.

    3. Quando ocorrem duplicatas, apenas concedemos o primeiro relatório recebido (desde que possa ser totalmente reproduzido).

    4. Várias vulnerabilidades causadas por um problema subjacente serão recompensadas.

    5. A engenharia social (por exemplo, phishing, vishing, smishing) é proibida.

    6. Faça um esforço de boa-fé para evitar violações de privacidade, destruição de dados e interrupção ou degradação do nosso serviço. Interaja apenas com contas que você possui ou com permissão explícita do titular da conta.

    7. Evite empregar ferramentas de digitalização automatizadas, pois os envios identificados por esses meios não podem ser aceitos.

    8. Evite impactar negativamente ou interromper ações que possam afetar a disponibilidade de nossos serviços (por exemplo, DoS/DDoS)

    9. Plano de teste

    • Se você estiver interessado em testar nossos recursos relacionados a ativos, mas não tiver os ativos necessários para realizar testes, você pode registrar contas e aplicar tokens de teste no painel de ativos em https://testnet.bybit.com. (*Observe que a Testnet utiliza moedas de teste sem valor real. Para garantir que nossos usuários desfrutem de uma experiência ideal com nossos produtos, optamos por não impor restrições rigorosas de 2FA. Consequentemente, relatos de desvio de 2FA na Testnet não serão aceitos).

    • Ativos Web3-related, consulte https://www.bybit.com/web3/home.

     

     

     

     

     

    Detalhes sobre os níveis de vulnerabilidade

    Qual é a recompensa por bugs distribuída quando uma vulnerabilidade é aprovada?

    Consulte a tabela abaixo para a recompensa de bugs disponível com base no nível da vulnerabilidade detectada.

     

    Nível

    Recompensa

    Baixa

    150 a 600 USDT

    Média

    600 a 1.500 USDT

    Alto

    1.500 a 5.000 USDT

    Crítica

    5.000 a 10.000 USDT

     

     

     

    Como os vários níveis de bugs/vulnerabilidades são definidos?

    Consulte a lista abaixo para mais informações:

     

    Vulnerabilidades críticas

    Uma vulnerabilidade crítica se refere a uma que ocorre no sistema central de negócios (o sistema central de controle, controle de campo, sistema de distribuição de negócios, máquina de fortaleza ou outro local de controle que possa gerenciar um grande número de sistemas). Isso pode causar um impacto grave, obter acesso ao controle do sistema de negócios (dependendo da situação real) ou acesso da equipe de gerenciamento do sistema principal e até mesmo controlar o sistema principal.

     

    Uma vulnerabilidade crítica inclui, entre outras:

    • Vários dispositivos acessam a rede interna

    • Ganhar acesso de super administrador de back-end principal, vazar dados centrais da empresa e causar impacto grave

    • Excesso de contratos inteligentes e vulnerabilidade condicional à competição

     

     

    Vulnerabilidades de alto risco

    • Obtenha acesso ao sistema (getshell, execução de comando, etc.)

    • Injeção de SQL do sistema (degradação da vulnerabilidade de back-end, prioridade do envio da embalagem, conforme apropriado)

    • Obter acesso não autorizado a informações confidenciais, incluindo, entre outras, acesso direto ao histórico de gerenciamento, contornando autenticação, senhas back-end atacáveis por força bruta ou obtendo SSRF de informações confidenciais na rede interna, etc.

    • Leitura arbitrária de documentos

    • Vulnerabilidade XXE que pode acessar qualquer informação

    • Operação não autorizada que envolve desvio de dinheiro ou lógica de pagamento (precisa ser utilizada com sucesso)

    • Defeitos graves no projeto lógico e no processo. Isso inclui, entre outros, qualquer vulnerabilidade de login do usuário, vulnerabilidade de modificação de senha da conta em lote, vulnerabilidade lógica envolvendo o negócio principal da empresa, etc., exceto para explosão do código de verificação

    • Outras vulnerabilidades que afetam os usuários em grande escala. Isso inclui, entre outros, o armazenamento de XSS que pode ser propagado automaticamente nas páginas importantes e o armazenamento de XSS que pode acessar informações de autenticação do administrador e ser utilizado com sucesso

    • Vazamento do código-fonte

    • Defeitos no controle de permissões no contrato inteligente

     

     

    Vulnerabilidades de médio risco

    • Uma vulnerabilidade que pode afetar os usuários pela interação, incluindo, entre outros, armazenar XSS em páginas gerais, CSRF envolvendo negócios centrais, etc.

    • Operação geral não autorizada, não limitada a modificar os dados do usuário e realizar a operação do usuário ao contornar restrições

    • Vulnerabilidades de negação de serviço, incluindo, entre outras, vulnerabilidades de negação de serviço remoto causadas pela negação de serviço de aplicativos da web

    • Vulnerabilidades causadas por uma explosão bem-sucedida com a operação sensível ao sistema, como qualquer login de conta e acesso à senha, etc., devido a falhas na lógica do código de verificação

    • Vazamento de informações de chave de autenticação confidenciais armazenadas localmente, que precisam estar disponíveis para uso eficaz



    Vulnerabilidades de baixo risco

    • As vulnerabilidades locais de negação de serviço incluem, entre outras, negação de serviço local do cliente (formatos de arquivo de análise, falhas geradas por protocolos de rede), problemas causados pela exposição à permissão de componentes Android, acesso geral ao aplicativo, etc.

    • O vazamento geral de informações não se limita a travessia do caminho da Web, travessia do caminho do sistema, navegação no diretório, etc.

    • XSS (incluindo DOM XSS/XSS refletido)

    • CSRF geral

    • Vulnerabilidade de salto de URL

    • SMS, e-mail (cada sistema aceita apenas um tipo dessa vulnerabilidade).

    • Outras vulnerabilidades menos prejudiciais (e que não podem ser comprovadas, como vulnerabilidade CORS que não pode acessar informações confidenciais) 

    • Sem valor de retorno e sem utilização aprofundada de SSRF bem-sucedido

     





    Comportamentos proibidos

    • Condução de engenharia social e/ou envolvimento em phishing

    • Detalhes vazando de uma vulnerabilidade

    • O teste de vulnerabilidade é limitado a PoC (prova de conceito), e o teste destrutivo é estritamente proibido. Se o dano for causado inadvertidamente durante o teste, ele deve ser reportado a tempo. Enquanto isso, operações confidenciais realizadas durante o teste, como exclusão, modificação e outras operações, devem ser explicadas no relatório

    • Usando um scanner para digitalização em grande escala. Se o sistema ou rede empresarial ficar indisponível, ele será processado de acordo com as leis relevantes

    • Aqueles que testam a vulnerabilidade devem tentar evitar modificar a página diretamente, continuar a abrir a caixa de mensagem (DNSLog é recomendado para verificação xss), roubar cookies e/ou obter uma carga útil agressiva, como informações do usuário (para testes blind xss, use dnslog). Se você usar acidentalmente uma carga mais agressiva, exclua-a imediatamente. Caso contrário, temos o direito de buscar passivos legais relacionados.

     

     

     

     

     

    Vulnerabilidades fora do escopo

    Ao relatar vulnerabilidades, considere (1) o cenário/explorabilidade do ataque e (2) o impacto do bug na segurança. Os seguintes problemas são considerados fora do escopo:

    • Qualquer atividade que possa levar à interrupção do nosso serviço (DoS, DDoS).

    • A engenharia social de nossos funcionários ou terceirizados, a menos que explicitamente autorizado.

    • Ataques contra nossas instalações físicas, a menos que explicitamente autorizado.

    • Ataques que exigem acesso físico ao dispositivo de um usuário, a menos que o dispositivo esteja no escopo e explicitamente protegido contra acesso físico.

    • Ataques que exigem desabilitar as proteções Man In The Middle (MITM).

    • Os ataques afetam apenas navegadores ou sistemas operacionais obsoletos.

    • Faltam as melhores práticas (configuração de SSL/TLS, políticas de segurança de conteúdo, bandeiras de cookie, tabnabbing, atributo de preenchimento automático, registros SPF/DKIM/DMARC de e-mail), a menos que um impacto significativo possa ser demonstrado.

    • Clickjacking ou falsificação de solicitação entre sites (CSRF) em páginas/formulários não autenticados sem ações confidenciais.

    • Redirecionamentos abertos, a menos que um impacto significativo possa ser demonstrado.

    • Autoexploração (auto XSS, autonegação de serviço, etc.), a menos que um método para atacar um usuário diferente possa ser demonstrado.

    • Falsificação de conteúdo, injeção de texto e injeção CSV, a menos que um impacto significativo possa ser demonstrado.

    • Divulgação da versão do software / Problemas de identificação do banner / Mensagens de erro ou rastreamentos de pilhas.

    • Problemas que exigem interação improvável do usuário pela vítima.

    • Qualquer ataque que exija que um usuário interaja com um contrato de um site controlado pelo invasor

    • Vulnerabilidades específicas da cadeia são excluídas (por exemplo, problemas de tempo de execução EVM ou Solana)

    • Vulnerabilidades integradas de Dapp são excluídas (por exemplo, UniswapCurveGMX1")

     

     

     

     

     

    Política de divulgação

    Não discuta este programa ou quaisquer vulnerabilidades (até mesmo as resolvidas) fora do programa sem o consentimento expresso da organização.

    Foi útil?
    yesSimyesNão
    Artigos relacionados
    Solução de Problemas: Como Obter um Arquivo HAR do Seu Browser na Web
    Resolução De Problemas: Como Enviar O Vídeo De Gravação Da Sua Tela Para A Bybit
    Como limpar o cache e os cookies para diferentes navegadores