概述
亲爱的用户,为了能更加充分为用户提供安全的交易环境,我们在此发动全球顶级技术社区的力量最大限度的加强www.kucoin.com的安全系统,我们于2022年8月3日特此建立kucoin.com的Bug与安全建议反馈奖励机制,激励任何有能力的资深安全人员,为kucoin.com提供专业安全建议和漏洞分析。
奖励规则
bug和漏洞反馈奖励分为四个等级,每个等级分别对应如下奖励,且奖励会以USD的形式计算:
严重3000-5000USD高危900-2000USD中危300-500USD低危50-150USD
如果您的漏洞提交被我们接受,请提供以下任意一项来获得奖励:
通过表单提交的漏洞请提供KCC的钱包地址,我们将向您支付KCS。通过Hacken提交的漏洞,我们会向您支付USDT。请注意,漏洞的威胁等级由KuCoin安全工作人员确认,KuCoin自行决定漏洞报告的问题是否满足奖励标准。
Ripple首席执行官及联合创始人将提出动议以驳回SEC诉讼:金色财经报道,在联邦法院提交的两封信表明,Ripple首席执行官Brad Garlinghouse和联合创始人Chris Larsen将寻求驳回美国证券交易委员会正在进行的诉讼。两封信都提到了未决的有关驳回诉讼的动议。截至发稿时,法院记录还没有公开提供。其中,律师事务所Cleary Gottlieb Steen&Hamilton LLP代替Garlinghouse撰写的信中称“此案代表了监管上的过度、浅白和简单”。此前消息,SEC去年12月针对Ripple、Garlinghouse和Larsen提起诉讼,指控该机构涉嫌以XRP形式出售未经注册的证券而违反了美国证券法。[2021/3/5 18:16:30]
漏洞范围
动态 | 汇款公司TransferGo宣布使用Ripple的ODL支付解决方案:据Theblock今日报道,汇款公司TransferGo宣布使用Ripple的ODL支付解决方案,TransferGo联合创始人兼首席执行官Daumantas Dvilinskas表示,此举可能在明年进行。[2019/11/26]
以下为适用范围内的业务名称:
TargetType*.kucoin.comWebKucoinMobileApplicationforAndroidAndroidKucoinMobileApplicationforiOSiOS
以下超出范围的业务名称:
TargetTypecert.kucoin.comWebzendeskWebSandBoxWebKucoinstoreWebApidocsWebintro.kucoin.comWebpassport.kucoin.comWebsandbox-*.kucoin.comWeb*-sdb.kucoin.comWeb*-sandbox.kucoin.comWeb
声音 | Blockstream CSO:microcript有望释放比特币智能合约的潜力:据AMBcrypto 10月5日消息,最近,Blockstream首席战略官Samson Mow谈论了一种基于比特币脚本的语言,即minicript,称它可以让在比特币区块链上编写智能合同变得更容易。根据Mow的说法,Bitcoin Script用于在特定条件下进行交易,而Miniscript使得进行此类交易变得更加容易。他谈到了Miniscript如何删除没有人使用的功能,同时启用双重签名以使交易更加安全。[2019/10/6]
评分规则
以下为我们可以接受的漏洞类别:
Web端
可能会造成用户资产损失的业务逻辑问题操纵支付远程代码执行(RCE)敏感信息泄漏Owasp的严重问题如:XSS、CSRF、SQL、SSRF、IDOR等其他有潜在损失的漏洞移动端
链游PlayDapp将于10月27日开放其RPG游戏“Along the Gods”的P2E服务器:10月20日消息,已上线Coinbase的链游项目PlayDapp宣布推出RPG游戏“Along the Gods: Knights of the Dawn’s(简称Along the Gods)”Play to Earn(P2E)模型,以加速进军全球区块链游戏市场。PlayDapp于10月20日宣布,“Along the Gods”的P2E服务器将于10月27日开放,并立即启动NFT预质押服务(韩国和中国除外)。NFT质押是指将NFT存入一定时间,并获得利息和奖励作为回报的一种服务。(PR Newswire)[2021/10/20 20:43:19]
可以访问到外部不安全的链接的函数可以调用Jsbridge/javascritptinterface来攻击用户的问题。其他有潜在损失的漏洞以下为超出接收范围的安全问题,不在此次奖励之列
声音 | LongHash:对加密货币进行监管 STO不是最终的答案:LongHash文章称,STO无法拯救区块链行业。从表面上看,STO似乎只是另一种发行代币的方式。但是STO与ICO非常不同,STO发行的代币具有证券属性,因此受到证券机构的监管,必须遵守相关证券法律法规。此外,STO破坏了区块链技术去中心化的本质。从代币发行到监管,STO流程的每一步都必须以集中的方式完成。而通过STO大规模募资的活动最终可能仍然以失败告终。文章指出,需要对更广泛的加密货币采用进行监管,但STO不是答案。区块链技术是全新的,具有自己独特的特点和发展道路,因此应该相应地加以规范。[2019/2/13]
Web端
没有实际证明的理论漏洞邮箱验证码缺陷,过期的密码重置链接和密码复杂性策略无效或者缺失发件人信息的记录安全影响较小的点击劫持以及UI重定向第三方应用程序的漏洞少于30天的Oday漏洞社工、钓鱼、和其他物理行为拒绝服务攻击DOS邮件,手机号信息枚举(例如通过重置密码来验证邮箱或手机号)安全影响较小的信息泄漏(例如:堆栈跟踪,路径公开,目录列表,日志信息)内部已知问题,重复提交或者已经公开的安全问题物理攻击个人电脑的XSS只能在旧版本的浏览器或者平台上利用的漏洞自动填写web表单的漏洞使用已知易受攻击的代码库而缺少实际证明Cookie中缺乏安全标志和不安全的SSL/TLS套接字或者协议版本相关的问题内容缓存控制相关问题内部IP或者域名泄漏无法直接利用的安全标头缺失问题可忽略影响的CSRF问题(例如:添加收藏夹,添加购物车,订阅等一些非关键问题)无安全影响的问题不属于Kucoin的资产破坏我们业务正常运行的行为(DoS/DDoS)安装路径权限问题自动化工具或者扫描的报告无效或者过期页面的链接,只有当你能证明当前提交的链接还在正常使用我们才会接收,如果是通过过往公告或者博客中获取的存在问题的功能链接我们将拒绝接受。移动端
需要Root/JailBreak权限的漏洞需要对用户设备进行操作的物理漏洞需要大量用户交互的漏洞在设备上暴露非敏感信息报告中只对二进制文件进行静态分析但缺少影戏业务逻辑POC缺少模糊测试、二进制保护,Root(jailbreak)检测绕过设备的证书检测缺少Exp例如PIE、ARC或者堆栈利用受TLS保护的URLs或Request中的敏感信息泄漏二进制文件中的路径泄漏APK,IPA中存在的OAuth和APP密钥硬编码自动化工具的扫描报告敏感信息在设备中以明文形式保存造成的信息泄漏通过将格式不正确的URLSchemes或组件发送给外部Activity/Service/Broadcast等接收器而导致的崩溃(不过利用这些方案获取的敏感数据泄漏是在可被接受的漏洞范围内的)通过剪切板泄漏的共享链接没有安全影响的API密钥泄漏,例如GooleMapAPI密钥等在超出接收范围的Web漏洞中提到的其他内容
报告评估标准
P13000-5000USD:可能破坏任何用户或者业务运营商资金安全问题的漏洞,包括:
1.拥有直接访问系统或核心业务的权限
2.存在潜在的重大损害
P2900-2000USD:与P1具有类似影响的漏洞,但取决于漏洞利用的前置条件以及恶意利用后会造成的影响,包括:
1.未授权访问
2.严重的SQL注入
3.高风险的信息泄漏
P3300-500USD:对部分用户造成影响、访问和修改用户信息等
P450-150USD:1.短信轰炸2.非敏感信息泄漏
反馈渠道
您可以通过以下两个渠道向我们反馈:
通过安全表单提供相应的问题,点击查看通过登陆Hacken向我们提交安全报告,链接为:https://hackenproof.com/kucoin/kucoin活动声明
严禁以渗透测试为借口,利用漏洞以及威胁情报损坏用户利益,影响业务正常运作,盗取用户数据等行为。严禁通过使用发现的bug或漏洞对我们数据库进行修改或者数据销毁。严禁使用扫描工具进行自动化测试。严禁在您拥有的帐户以外的帐户上进行测试。以上最终解释权归KuCoin所有。关于我们
KuCoin于2017年9月成立,是一个全球加密货币交易所。作为一个注重包容性和社区行动范围的面向用户的平台,我们提供超过700种数字资产,目前为其在207个国家和地区的1800万用户提供现货交易、保证金交易、P2P法定交易、期货交易、股权和贷款。
标签:UCOKucoinCOINCOIkucoin北京办公地点kucoin交易平台app下载coincheck真的还是假的I/O Coin
原文作者:JackieSingh 原文编译:黑米 Web3和区块链的世界是否像听起来那样令人生畏?拜登竞选活动的首席事件响应官、前英特尔事件响应总监JackieSingh采访了Web3安全从业人.
Dearvaluedusers:HuobiEarnislaunchingaCrazyEarningsDayeventeveryThursday!GethigherAPYreturnswithne.
金色财经报道,Ripple发布2022年第二季度XRP市场报告,报告称,Ripple将其服务器升级到1.9.1版本,即XRPLedger(XRPL)协议的参考实现.
7:00-12:00关键词:Nomad、Celsius、W3BCloud、Bitfarms1.跨链通讯协议Nomad遭遇黑客攻击.
1.Meta背景公链、隐私公链、模块化区块链和Layer2公链热度较高;2.新公链在可扩展性方面表现抢眼,有几千到几万不等的TPS;3.新公链生态发展尚处早期,生态用户数量尚不具备竞争优势.
本文来自|humanode.io,Odaily星球日报译者|MoniHumanode测试网3“Ramiel”现已正式向公众开放,那么普通用户该如何参与呢?下面,我们将手把手带你操作.