概述
亲爱的用户,为了能更加充分为用户提供安全的交易环境,我们在此发动全球顶级技术社区的力量最大限度的加强www.kucoin.com的安全系统,我们于2022年8月3日特此建立kucoin.com的Bug与安全建议反馈奖励机制,激励任何有能力的资深安全人员,为kucoin.com提供专业安全建议和漏洞分析。
奖励规则
bug和漏洞反馈奖励分为四个等级,每个等级分别对应如下奖励,且奖励会以USD的形式计算:
严重3000-5000USD高危900-2000USD中危300-500USD低危50-150USD
如果您的漏洞提交被我们接受,请提供以下任意一项来获得奖励:
通过表单提交的漏洞请提供KCC的钱包地址,我们将向您支付KCS。通过Hacken提交的漏洞,我们会向您支付USDT。请注意,漏洞的威胁等级由KuCoin安全工作人员确认,KuCoin自行决定漏洞报告的问题是否满足奖励标准。
Dookey Dash游戏结束,Mongraal以928522分登顶积分榜:2月9日消息,BAYC铸造型游戏Dookey Dash宣告结束,职业玩家Mongraal以928522分登顶游戏积分榜。
据悉,在1月18日至2月8日期间,超2.5万Dookey Dash玩家在BAYC的下水道里跑了761.8万次,在游戏中花费近14.5万枚APE。[2023/2/9 11:56:57]
漏洞范围
以下为适用范围内的业务名称:
TargetType*.kucoin.comWebKucoinMobileApplicationforAndroidAndroidKucoinMobileApplicationforiOSiOS
以下超出范围的业务名称:
LongBit长币网支持向IOST用户首次空投DON:据IOST官方消息,近日Donnie Finance确认将向IOST用户首次空投DON总供应量的5%。LongBit长币网正式宣布:将支持IOST快照DON空投活动。
截止目前,币安Binance、Huobi Global、OKEx欧易、Huobi Korea、MXC抹茶、Bithumb、UPbit、BigONE、AEX安银、CoinW币赢、KuCoin库币、LongBit长币网均已支持向IOST用户首次空投DON投活动,更多支持的交易平台持续对接中。
Donnie Finance已推出7款产品,DON也已上线韩国头部交易平台CoinOne,2月Donnie Finance即将推出流动性挖矿。[2021/2/24 17:49:03]
TargetTypecert.kucoin.comWebzendeskWebSandBoxWebKucoinstoreWebApidocsWebintro.kucoin.comWebpassport.kucoin.comWebsandbox-*.kucoin.comWeb*-sdb.kucoin.comWeb*-sandbox.kucoin.comWeb
声音 | Longhash:Bakkt低成交量显示华尔街相对沉默:金色财经报道,Longhash发布文章称,Skew数据显示,Bakkt比特币期权在过去一周内几乎没有成交量。分析指出,Bakkt的期权和期货市场交易量相对较低,可能表明最近的比特币热潮主要是由散户或个人投资者推动的,而华尔街在比特币市场上则相对沉默。前eToro高管兼Quantum Economics创始人Mati Greenspan最近称,华尔街对比特币最近的飙升相当冷漠,但他们并没有完全保持沉默。CME现金结算的期货合约的交易量肯定有所增加。这样一来,目前主要的交易量似乎确实来自加密交易所。此外,文章表示,比特币最近的上涨似乎是由领先的保证金交易平台上的大量活动引起的。同时,像Bakkt一样以经过认可的投资者为目标的平台活跃度较低,这表明机构并未在很大程度上参与进来,加剧了当前的反弹不可持续的论点。[2020/2/4]
评分规则
分析 | Longhash:更活跃的区块链并不一定意味着更高的代币价格:11月1日,Longhash发文表示,分析了18种顶级代币(不包括稳定币)的每日价格数据和活动地址数据。数据表示,一些代币似乎显示了价格变动和活动地址之间的强烈相关性。BTC、LTC、Link和NEO都符合这一条件,这表明当更多用户在这些网络上进行交易时,价格通常会上涨。虽然没有代币显示显著的负相关,但相当多的代币显示价格和活动地址之间没有可测量的相关性。BSV, XLM, TRON, TEZOS,MAKER, XEM, BAT都属于这一类。至少根据Coin Metrics的数据,这些网络上的用户活动似乎与价格上涨无关。值得注意的是,ETH也非常接近于这一类别,在最好的情况下,活跃用户和价格之间的相关性很弱。更广泛地说,数据显示,网络活动和代币价格在短期内并不总是紧密相关。从历史上看,活跃用户和代币价格之间几乎没有相关性。[2019/11/3]
以下为我们可以接受的漏洞类别:
动态 | LongHash:加密项目失败的最常见原因是投资者停止交易:LongHash发布了题为“什么杀死了加密项目\"的文章。根据Coinospy的数据,加密项目失败的最常见原因是遭遗弃,这意味着投资者停止交易代币,使其交易量降至零(或接近零),被遗弃导致项目失败的占比达63.1%;致使加密项目失败的第二大原因是涉嫌,这类加密项目数量占比达29.9%;其他导致加密项目失败的原因包括ICO失败(3.6%)和明显的“玩笑”项目(3.2%),比如“AnalCoin”等。[2019/10/13]
Web端
可能会造成用户资产损失的业务逻辑问题操纵支付远程代码执行(RCE)敏感信息泄漏Owasp的严重问题如:XSS、CSRF、SQL、SSRF、IDOR等其他有潜在损失的漏洞移动端
可以访问到外部不安全的链接的函数可以调用Jsbridge/javascritptinterface来攻击用户的问题。其他有潜在损失的漏洞以下为超出接收范围的安全问题,不在此次奖励之列
Web端
没有实际证明的理论漏洞邮箱验证码缺陷,过期的密码重置链接和密码复杂性策略无效或者缺失发件人信息的记录安全影响较小的点击劫持以及UI重定向第三方应用程序的漏洞少于30天的Oday漏洞社工、钓鱼、和其他物理行为拒绝服务攻击DOS邮件,手机号信息枚举(例如通过重置密码来验证邮箱或手机号)安全影响较小的信息泄漏(例如:堆栈跟踪,路径公开,目录列表,日志信息)内部已知问题,重复提交或者已经公开的安全问题物理攻击个人电脑的XSS只能在旧版本的浏览器或者平台上利用的漏洞自动填写web表单的漏洞使用已知易受攻击的代码库而缺少实际证明Cookie中缺乏安全标志和不安全的SSL/TLS套接字或者协议版本相关的问题内容缓存控制相关问题内部IP或者域名泄漏无法直接利用的安全标头缺失问题可忽略影响的CSRF问题(例如:添加收藏夹,添加购物车,订阅等一些非关键问题)无安全影响的问题不属于Kucoin的资产破坏我们业务正常运行的行为(DoS/DDoS)安装路径权限问题自动化工具或者扫描的报告无效或者过期页面的链接,只有当你能证明当前提交的链接还在正常使用我们才会接收,如果是通过过往公告或者博客中获取的存在问题的功能链接我们将拒绝接受。移动端
需要Root/JailBreak权限的漏洞需要对用户设备进行操作的物理漏洞需要大量用户交互的漏洞在设备上暴露非敏感信息报告中只对二进制文件进行静态分析但缺少影戏业务逻辑POC缺少模糊测试、二进制保护,Root(jailbreak)检测绕过设备的证书检测缺少Exp例如PIE、ARC或者堆栈利用受TLS保护的URLs或Request中的敏感信息泄漏二进制文件中的路径泄漏APK,IPA中存在的OAuth和APP密钥硬编码自动化工具的扫描报告敏感信息在设备中以明文形式保存造成的信息泄漏通过将格式不正确的URLSchemes或组件发送给外部Activity/Service/Broadcast等接收器而导致的崩溃(不过利用这些方案获取的敏感数据泄漏是在可被接受的漏洞范围内的)通过剪切板泄漏的共享链接没有安全影响的API密钥泄漏,例如GooleMapAPI密钥等在超出接收范围的Web漏洞中提到的其他内容
报告评估标准
P13000-5000USD:可能破坏任何用户或者业务运营商资金安全问题的漏洞,包括:
1.拥有直接访问系统或核心业务的权限
2.存在潜在的重大损害
P2900-2000USD:与P1具有类似影响的漏洞,但取决于漏洞利用的前置条件以及恶意利用后会造成的影响,包括:
1.未授权访问
2.严重的SQL注入
3.高风险的信息泄漏
P3300-500USD:对部分用户造成影响、访问和修改用户信息等
P450-150USD:1.短信轰炸2.非敏感信息泄漏
反馈渠道
您可以通过以下两个渠道向我们反馈:
通过安全表单提供相应的问题,点击查看通过登陆Hacken向我们提交安全报告,链接为:https://hackenproof.com/kucoin/kucoin活动声明
严禁以渗透测试为借口,利用漏洞以及威胁情报损坏用户利益,影响业务正常运作,盗取用户数据等行为。严禁通过使用发现的bug或漏洞对我们数据库进行修改或者数据销毁。严禁使用扫描工具进行自动化测试。严禁在您拥有的帐户以外的帐户上进行测试。以上最终解释权归KuCoin所有。关于我们
KuCoin于2017年9月成立,是一个全球加密货币交易所。作为一个注重包容性和社区行动范围的面向用户的平台,我们提供超过700种数字资产,目前为其在207个国家和地区的1800万用户提供现货交易、保证金交易、P2P法定交易、期货交易、股权和贷款。
标签:COINCOIOINUCOMobileCoinkucoin交易所上班有风险吗Kingdom Coinkucoin投资稳定币
亲爱的用户: 为了与DBEX所有用户共庆七夕,DBEX推出七夕有“礼”才完美活动,参与即有机会瓜分奖励! 活动时间: 2022/08/048:00-?2022/08/0422:00(UTC8)Adventure Gold获DWF La.
1900/1/1 0:00:00北京时间8月2日早上,跨链解决方案Nomad于遭到黑客攻击,初步分析Nomad损失在1.9亿美元左右。而本次被盗的根本原因,在于Nomad官方升级智能合约时发生错误.
1900/1/1 0:00:00金色财经消息,Messari分析师表示,以太坊合并叙事不会推动以太坊经典的持续上涨,ETC可能会在合并前几天飙升,但它没有长期上涨动力.
1900/1/1 0:00:00本文来自彭博社,原文作者:HooyeonKimOdaily星球日报译者?|念银思唐韩国最知名的加密货币投资者、Luna代币的早期支持者SimonSeojoonKim表示,他没有对这个遭受重创的行业失去信心.
1900/1/1 0:00:00尊敬的唯客用户您好! 七夕好礼传心意天天奖励送不停活动时间:2022/07/2712:00至2022/08/0911:59 活动三:七夕红包天天发 沙特财富基金推出240亿美元的科技基金:金色财经报道.
1900/1/1 0:00:00尊敬的XT.COM用戶:Ontology主網升級已完成,XT.COM現已恢復ONT充提業務。給您帶來的不便,請您諒解!耐克将赠予NikeCraft NFT持有者全新耐克xTom Sachs联名NikeCraft GPS鞋:6月9日消息.
1900/1/1 0:00:00