BSC LOCKER PLATFORM
漏洞赏金
了解安全问题提交流程与赏金规则。
漏洞赏金页面用于引导安全研究人员、开发者和白帽子在发现潜在问题后,以负责任的方式向平台提交安全报告。平台鼓励以善意、可复现、不影响用户资产安全的方式披露问题,并建议在正式公开前先通过官方渠道进行私下沟通,以便平台有机会完成验证、修复和复测。适合进入漏洞赏金流程的问题通常包括但不限于:前端高危注入、后台权限绕过、合约调用逻辑缺陷、配置泄露、访问控制失效、敏感数据暴露、节点代理安全问题以及会直接影响资产安全或后台控制权的漏洞。
提交安全报告时,建议尽量包含问题标题、影响范围、复现步骤、触发条件、测试环境、潜在危害和修复建议。对于涉及资金或后台权限的高风险问题,请避免公开扩散或在生产环境进行破坏性验证,以免造成不可逆的损失。平台通常会根据漏洞的严重程度、复现难度、影响范围和修复价值综合评估奖励。若报告内容清晰、结论可靠且披露方式符合约定,平台可视情况给予致谢、奖励或公开鸣谢。对于低质量、无法复现、已知问题重复提交、社工类报告或明显不符合规则的行为,平台有权不予奖励。
一个专业的平台应当重视安全协作,而不是把安全视为对立关系。你可以在后台进一步补充提交邮箱、Telegram 机器人、安全 PG P 公钥、响应时间、奖励区间和不在赏金范围内的内容,例如测试网问题、非官方插件问题、第三方钱包自身漏洞等。把漏洞赏金页面写清楚,不仅能提升平台的专业形象,也有助于建立更健康的安全协作生态。
你还可以把不在赏金范围内的事项写得更清楚,例如 UI 文案建议、低危视觉问题、第三方浏览器兼容问题、测试环境中的非真实缺陷等。规则越清楚,研究人员就越容易提交高质量报告,平台也更容易形成稳定、可持续的安全反馈机制。
欢迎协作
鼓励白帽子在不影响真实用户资产的前提下进行负责任披露。
提交质量
高质量报告应包含复现步骤、影响范围、证明材料与修复建议。
规则清晰
把范围内与范围外事项写清楚,才能建立长期稳定的安全合作机制。