漏洞披露政策

BlockATM 重视智能合约和系统安全，我们鼓励负责任的漏洞披露。

披露原则

我们遵循负责任的漏洞披露原则：

1. 发现者：私下向 BlockATM 报告漏洞

2. BlockATM：验证并修复漏洞

3. 协调：与发现者协商披露时间

4. 公开：在修复后公开披露

报告漏洞

报告渠道

如果您发现 BlockATM 的安全漏洞，请通过以下方式报告：

报告内容

完整的漏洞报告应包含：

必填信息

可选信息

• 概念验证代码（PoC）

• 截图或录屏

• 修复建议

• 相关日志或交易 Hash

报告模板

披露流程

阶段一：报告接收（0-24 小时）

发现者会收到：

• 报告接收确认

• 漏洞 ID 编号

• 预计修复时间

阶段二：验证与修复（1-7 天）

发现者会收到：

• 验证结果

• 修复进度更新

• 预计公开时间

阶段三：修复部署（7-14 天）

发现者会收到：

• 修复完成通知

• 公开披露计划

阶段四：公开披露（14-30 天）

漏洞分级

我们根据 CVSS 标准对漏洞分级：

🔴 严重（Critical）

评分：9.0 - 10.0

特征：

• 可直接盗取资金

• 无需授权访问敏感数据

• 影响所有用户

响应时间：24 小时内

示例：

• 智能合约重入漏洞

• 私钥泄露

• 签名验证绕过

🟠 高危（High）

评分：7.0 - 8.9

特征：

• 需要特定条件才能利用

• 影响部分用户

• 可能导致资金损失

响应时间：48 小时内

示例：

• 授权绕过

• 重放攻击

• 逻辑漏洞

🟡 中危（Medium）

评分：4.0 - 6.9

特征：

• 利用难度较高

• 影响有限

• 不会直接损失资金

响应时间：7 天内

示例：

• XSS 跨站脚本

• CSRF 跨站请求伪造

• 信息泄露

🟢 低危（Low）

评分：0 - 3.9

特征：

• 影响很小

• 仅影响用户体验

• 无安全风险

响应时间：30 天内

示例：

• 点击劫持

• 不安全的第三方依赖

• 文档错误

奖励计划

我们为负责任的漏洞披露提供奖励：

奖励标准

奖励条件

获得奖励需满足：

• ✅ 第一个报告该漏洞

• ✅ 提供足够的复现信息

• ✅ 遵守负责任披露原则

• ✅ 不公开漏洞细节直到修复

不予奖励的情况

• ❌ 已公开的漏洞

• ❌ 利用漏洞进行测试

• ❌ 威胁公开以获取奖励

• ❌ 违反负责任披露原则

安全研究指南

✅ 允许的研究活动

• 在测试网测试智能合约

• 分析公开的智能合约代码

• 测试 API 接口的安全性

• 提交漏洞报告

❌ 禁止的活动

• 攻击生产环境

• 访问其他用户数据

• 测试可能导致资金损失的操作

• 进行 DDoS 攻击

• 社会工程学攻击

测试环境

我们提供测试环境供安全研究：

历史漏洞披露

2025 年披露

[CVE-2025-XXXX] 重入漏洞修复

披露日期：2025-03-15

严重等级：严重

描述：在 V2.1.0 版本中发现潜在的重入漏洞风险。

影响版本：V2.0.0 - V2.1.0

修复版本：V2.1.1

感谢：@security_researcher

查看详细公告

常见问题

Q：我可以公开测试发现的漏洞吗？

A：不可以。负责任的披露要求您先私下报告给我们，让我们有时间修复。

Q：多久能得到回复？

A：

• 严重/高危：24-48 小时

• 中危：7 天

• 低危：30 天

Q：我可以匿名报告吗？

A：可以。但我们更希望您留下联系方式，以便沟通和发放奖励。

Q：奖励如何发放？

A：奖励以 USDT 形式发放到您指定的钱包地址。

Q：漏洞修复后我必须公开吗？

A：我们鼓励公开，但尊重您的选择。我们会发布安全公告并感谢您。

联系我们

安全团队

• 💬 Telegram: Passto_john

• 📧 Email: [email protected]

PGP 密钥

如需加密通信，请使用我们的 PGP 公钥：

指纹：XXXX XXXX XXXX XXXX XXXX

更新记录

下一步

• 合约审计报告 →

• 安全最佳实践 →

• 自托管说明 →