NewCoin Bug Bounty 计划

我们很高兴宣布推出 NewCoin Bug Bounty（漏洞赏金）计划，并诚挚邀请全球安全研究人员、白帽黑客参与漏洞挖掘与安全共建。

如您在测试过程中发现安全漏洞，请将完整的漏洞信息提交至官方邮箱：

[email protected]

NewCoin 安全团队将在收到报告后进行审核与验证，并在确认漏洞有效后与您取得联系并发放相应奖励。

您的安全贡献，对 NewCoin 至关重要。

一、Web Bug Bounty 计划

1. 测试范围

• NewCoin 官方网站

• 官方 Web 交易与账户系统

2. 漏洞奖励标准

最终奖励金额将根据漏洞影响范围、利用难度及实际危害综合评估。

二、Web 漏洞等级定义

（1）严重漏洞（Critical）

影响 NewCoin 核心业务系统或关键基础设施，可能造成重大资产或系统风险。

可能结果包括：

• 未经授权控制核心业务系统

• 获取核心系统最高管理权限

• 完全接管关键业务模块

示例：

• 控制内部网络中的多个关键设备

• 获取后端超级管理员权限，导致核心数据泄露

• 智能合约溢出、竞争条件等致命漏洞

（2）高风险漏洞（High）

可直接影响系统安全、用户资产或业务逻辑完整性。

包括但不限于：

• 系统权限获取（GetShell、命令执行）

• SQL 注入

• 身份认证绕过、弱密码、SSRF

• 任意文件读取、XXE 任意信息访问

• 未经授权的交易、支付或资金操作

• 严重业务逻辑缺陷（如任意用户登录、批量修改密码）

• 大范围影响的存储型 XSS

• 源代码大规模泄露

• 智能合约权限控制缺陷

（3）中风险漏洞（Medium）

需特定条件或用户交互，可能造成一定安全影响。

包括但不限于：

• 需用户交互的漏洞（如存储型 XSS、CSRF）

• 并行授权缺陷（绕过用户数据修改限制）

• 拒绝服务攻击（DoS）

• 验证码逻辑缺陷导致暴力破解

• 本地或配置导致的敏感认证密钥泄露

（4）低风险漏洞（Low）

影响较小，或难以证明可直接造成严重后果。

包括但不限于：

• 本地 DoS（客户端崩溃）

• 一般信息泄露（路径遍历、目录浏览）

• DOM / 反射型 XSS

• 普通 CSRF

• URL 重定向漏洞

• 短信 / 邮件轰炸（同类问题每系统仅计一次）

• 其他无法直接证明安全影响的漏洞

三、不接受的漏洞类型

以下问题不纳入 Bug Bounty 计划范围：

• 邮件伪造

• 用户枚举

• Self-XSS / HTML 注入

• 缺少 CSP / SRI 等安全策略

• 非敏感操作的 CSRF

• Android 应用配置问题（如 android:allowBackup="true"）

• 仅影响性能的问题（如图片缩放导致请求缓慢）

• 第三方组件版本信息暴露（如 Nginx 版本）

• 无安全影响的功能缺陷

• 针对 NewCoin 员工的社会工程攻击

四、智能合约漏洞等级定义

（1）严重漏洞（Critical）

• 操纵治理或投票结果

• 直接窃取用户资金（不含未申领收益）

• 永久冻结用户资金

• 矿工可提取价值（MEV）

• 协议整体资不抵债

（2）高风险漏洞（High）

• 窃取或冻结未申领收益 / 版税

• 暂时性冻结用户资金

（3）中风险漏洞（Medium）

• 合约因代币不足而无法正常运行

• 利用区块拥堵牟利

• 无直接盈利动机的破坏性行为

• 窃取 Gas 或无限消耗 Gas

（4）低风险漏洞（Low）

• 未造成直接资金损失但影响合约承诺

• 信息类问题（预言机错误、治理攻击、流动性风险、Sybil 攻击等）

• 最佳实践与安全加固建议

五、禁止行为

为保障平台与用户安全，测试过程中 严禁以下行为：

• 社会工程或钓鱼攻击

• 公开、传播或售卖漏洞细节

• 破坏性测试（仅允许 PoC 验证）

• 使用未授权扫描器进行大规模扫描

• 修改网页内容、弹窗轰炸、窃取 Cookie

• 使用高侵入性或破坏性 Payload

如测试过程中造成任何意外影响，请立即向 NewCoin 报告。 违反上述规则的行为，可能导致奖励取消，甚至承担法律责任。

六、结语

感谢您为 NewCoin 平台安全 所做出的贡献。 我们期待与全球安全研究者携手，共同构建一个 更安全、更透明、更可信赖的加密资产生态系统。

NewCoin 安全团队