Responsible Disclosure Program
漏洞赏金计划
我们与全球安全研究员合作守护用户资产。提交有效漏洞,根据严重程度获得 USDT 奖励 + 名人堂荣誉。
注:本页为 FAcoin 演示项目,提交流程、奖金等级与状态流转均在本地浏览器演示。
奖励级别
所有奖励基于 CVSS 3.1 评分,结合业务影响与报告质量综合定级。
Critical
CVSS 9.0 — 10.0
$50,000
- 远程命令执行 (RCE)
- 用户私钥 / 助记词泄露
- 钱包资金可被任意转移
High
CVSS 7.0 — 8.9
$20,000
- 绕过双因子认证
- 水平 / 垂直越权 (IDOR)
- 智能合约逻辑缺陷
Medium
CVSS 4.0 — 6.9
$5,000
- 存储型 / 反射型 XSS
- 关键操作 CSRF
- SSRF 内网探测
Low
CVSS 0.1 — 3.9
$500
- 低风险信息泄露
- HTTP 头缺失
- 不可利用的开放重定向
漏洞报告中心
登录后可提交漏洞报告并跟踪进度。所有提交将进入三阶段评审流程。
测试范围
请严格遵守范围限制。范围外的测试不会获得奖励。
In Scope · 可测试
*.facoin.comWeb 站点(交易、资产、API、官网)api.facoin.com/fapi.facoin.comREST + WebSocket- iOS / Android 移动客户端
- FAcoin Web3 钱包浏览器扩展
- OAuth / SSO 子系统
auth.facoin.com
Out of Scope · 禁止测试
- 针对员工或用户的社会工程 / 钓鱼攻击
- DoS / DDoS / 流量泛洪 / 暴力破解
- 对物理设施或员工设备的攻击
- 第三方服务的漏洞(请上报对应厂商)
- 未授权对生产数据 / 真实账户进行写操作