English
BITHACK.IO是什么

BITHACK.IO是全球首家通证化信息安全技术社区。作为一个自治型社区,我们将化身桥梁,连接行业安全专家与项目方,为项目方用户搭建高效、透明的安全信息平台。

BITHACK.IO能做什么
漏洞收集 安全专家可以将发现的项目漏洞提交到社区,由社区委员会对项目漏洞进行评审,项目方可以申请认领相关漏洞
漏洞评审 社区委员会评审安全专家提交的项目漏洞,通过后联系项目方认领并修复相关漏洞
漏洞脱敏 社区将对该漏洞的详细信息进行脱敏处理,并制作成参考案例
赏金计划 项目方入驻社区后,可自主发布赏金计划,设定项目测试的范围和奖励金额,激励社区的安全专家来测试和提交相关项目的漏洞
BITHACK.IO的优势
BITHACK.IO的优势 BITHACK.IO社区 传统安全企业
值得信赖 自治型社区,项目漏洞只对安全专家和项目方开放 中心化组织,独占项目漏洞信息资源,有较大的安全隐患和道德风险
效率更高 吸引全球的安全专家入驻社区,参与项目安全测试 固定数量的安全测试人员,
测试效率低
长效机制 持续挖掘、收集项目漏洞信息 只提供固定期限的安全服务
成本优势 项目方可自主设定奖励计划,按发现的漏洞数奖励安全专家 收取不菲的服务费用,成本高昂
HKT的定义

HKT是由BITHACK.IO社区发行的全球黑客令牌—Hacker Token 的简称。HKT是BITHACK.IO社区生态体系的基础。

如何获得HKT

HKT的主要获取途径是漏洞挖掘,即安全专家每挖掘⼀个漏洞,就能获得相应的HKT奖励。

具体奖励规则如下:

项目排名 严重(HKT——Score) 高(HKT——Score) 中(HKT——Score) 低(HKT——Score)
1-10 TBD——300 10000——100 6000——60 (200~800)——20
11-50 TBD——200 6000——90 4000——50 (200~600)——20
50-100 TBD——100 4000——80 2000——40 (200~400)——10
100-200 TBD——50 800——70 500——30 200——10

PS:项目排名按照 https://coinmarketcap.com/rankings/exchanges 作为参考,提交漏洞详情时请截图项目方排名。

HKT的用途

HKT主要有以下几个用途:

  • 漏洞挖掘的奖励,如上文所说,HKT将用于奖励发现漏洞的安全专家。
  • 赏金活动的奖励,项目方可以通过冻结一部分HKT资产来发起赏金活动,这部分被冻结的HKT将被用于奖励参与赏金活动的安全专家。
  • 社区投票(暂未上线)
  • 社区打赏(暂未上线)
  • 其它
项目方入驻流程
  • 进入项目方注册页面
  • 填写项目方名称、logo、负责人电话等信息
  • 等待社区委员会审核
  • 审核通过之后,项目方将收到账户激活邮件,点击邮件里的账户激活链接就可以激活账户,成为社区的正式项目方用户
安全专家入驻流程
  • 打开专家用户注册页面
  • 提交项目漏洞信息
  • 等待社区委员会评审
  • 社区委员会评审通过之后,用户将会收到账户激活邮件,点击邮件里的账户激活链接就可以激活账户,成为社区的正式专家用户

注:如果用户没有收到账户激活邮件,说明:

  • 漏洞或者项目方的注册资料未通过审核
  • 激活邮件由于某种原因未送达

如果对审核结果有异议,或者未收到激活邮件,请及时联系[email protected]

漏洞收集

本平台的漏洞收集范围主要是非小号:https://www.feixiaohao.com/exchange/ 和 Coinmarketcap:https://coinmarketcap.com/rankings/exchanges/ 上排行TOP100的数字货币交易所,其余类型的漏洞是否收集将视具体情况而定。

项目漏洞收集操作步骤

  • 安全专家提交项目漏洞
    • 漏洞提交后显示为“评审中”状态。
  • 社区委员会对收到的漏洞进行评审
    • 漏洞不存在或漏洞重复上报或信息描述不清的,社区委员会将驳回该次提交,并将漏洞标识为“已驳回”状态,同时告知驳回理由
    • 漏洞经过验证确实存在的,社区委员会将确认该漏洞并评定漏洞等级,同时将漏洞标识为“待认领”状态
  • 安全专家将在漏洞通过评审后收到奖励
漏洞认领

如何认领漏洞

  • 项目方登录后,在平台首页的漏洞列表中找到属于本项目的漏洞,进入漏洞详情页面后,点击认领
    • 认领漏洞的申请通过审核后,项目方就可以在个人中心查看漏洞的具体详情信息,同时该漏洞将被标识为“已认领”状态
赏金计划

如何发布赏金活动

项目方在BITHACK.IO平台成功注册后,就可以在个人中心里提交赏金活动,然后充值相应数量的HKT作为漏洞赏金,完成赏金活动的发布。

如何充值赏金

项目方在平台上提交赏金活动后,平台的运营人员会主动联系您进行赏金的预充值。预充值的数额必须是5万(或5万的倍数)人民币,平台会依据相应比例将充值数额折算成等价的HKT,然后将其冻结作为漏洞赏金。除了项目方提供的赏金,BITHACK.IO不会收取任何其他费用。

漏洞激励标准

所有安全专家提交的漏洞都将由BITHACK.IO平台审核并评定漏洞等级,然后根据漏洞等级给予相应的赏金。具体标准如下:

严重(HKT) 高(HKT) 中(HKT) 低(HKT)
50000——10000 10000——6000 6000——2000 800——400

此外,项目方还可以设置额外奖励,例如,首次提交漏洞奖励、提交漏洞排名奖励等。适当的额外奖励可以吸引更多的安全专家来发掘项目的安全漏洞。

不收集范围:

- 验证码暴力破解登录(试项目方而定)

- 批量手机短信发送问题

- 无限制Email轰炸,用户批量注册等

- 危害不大与较难利用(或者只影响单个浏览器)的反射型XSS;包括但不限于Self-XSS等

- 无法实际证明漏洞是否存在或者危害的漏洞

- 没有明确的安全性影响,比如点击劫持,缺少安全报头或错误信息

- 较难利用的拒绝服务攻击

- 登录/注销CSRF

- 登入登出URL跳转漏洞

- 非敏感的动作的点击劫持攻击

- 内容伪造漏洞

- 无法销毁的会话

- 可见的详细错误消息页面/调试页面

- 内部已知问题,重复问题或已公开的问题

- 内部IP地址泄露

- App崩溃

常见问题:

1.活动结束后,赏金还有结余,可以退回吗?
活动结束时,剩余HKT赏金将会自动解冻,项目方可以主动提现或者将其计入下期赏金活动。

2.项目方不想收录某些种类的漏洞怎么办?
发起赏金活动时,项目方可以主动写明活动的测试范围和超出范围。对于超出范围的漏洞,平台将不予收录。

3.漏洞细节会公开吗?
我们会对漏洞细节进行脱敏处理

4.怎么联系BITHACK.IO平台
我们的联系方式是[email protected]

BITHACK.IO社区共识规则

BITHACK.IO是全球首家区块链生态威胁情报报告社区。作为一个去中心化的自治组织,我们将化身桥梁,连接区块链行业安全专家与项目方,为区块链项目方用户搭建高效、透明的安全信息社区。BITHACK.IO社区将为区块链行业生态安全提供公益性的社区服务,外部安全专家通过真实环境进行威胁情报挖掘,帮助项目方发现安全威胁,同时安全专家获得相应奖励,努力实现区块链项目方与安全专家双赢的良性循环。

作为安全专家,您应该:

  • 尊重规则 按照项目方设定的规则进行测试,如果不同意项目方设定的规则,请提前说明。
  • 保持合作精神 根据项目方的请求,配合项目方对威胁情报做出澄清,支持其安全检测工作。
  • 诚实可靠 请勿提交虚假威胁情报信息,请勿公开在社区提交的威胁情报详情及威胁情报相关的任何细节。
  • 禁止恶意行为 请勿访问或破坏其他普通用户的数据。请及时报告所发现的威胁情报,未经允许,不得擅自利用发现的威胁情报。

作为项目方,您应该:

  • 安全第一 请重视并及时处理社区发现的安全隐患问题。
  • 尊重安全专家 在挖掘威胁情报的过程中,请给与安全专家配合,尊重安全专家的工作
  • 诚实可靠 请勿提供虚假项目信息,请配合社区委员会对项目方的资质审核
  • 禁止恶意行为 请勿对安全专家采取不适当的威胁措施,例如提出法律威胁或将事情提交执法部门处理

作为社区委员会,您应该:

  • 隐私保护 保护安全专家和项目方的隐私安全,不对第三方透露社区相关人员或威胁情报信息
  • 保持公正 监督安全专家和项目方的行为,当安全专家和项目方发生争执时,由社区委员会进行调查并协调处理

社区成员的共同行为准则:

  • 禁止上传、展示或传播任何虚假的、骚扰性的、中伤他人的、辱骂性的、恐吓性的、庸俗淫秽的或其他任何非法的信息资料。
  • 使用社区沟通渠道,请勿使用个人电子邮件,社交媒体帐户或其他私人方式进行私下沟通,就威胁情报或任何与威胁情报相关的问题进行联系。
  • 禁止弄虚作假,包括安全专家与项目方成员勾结,自己提交并关闭威胁情报,达到提升在社区内地位的目的等。
  • 禁止敲诈勒索,任何以威胁情报信息作为胁迫手段对项目方进行敲诈勒索的行为都是不被允许的。
  • 禁止冒充社区委员会成员,任何未经授权冒充社区委员会成员的行为都是不被允许的。
常见问题

• 如何联系BITHACK.IO社区?
你可以通过网站底部的社区联系方式来联系社区运营人员

• 我已经购买了安全服务产品,为什么还要选择BITHACK.IO社区?
传统安全服务产品主要是用于自动化检测安全问题,有一定的局限性。安全专家利用攻击者的思维,可以从更全面的角度来发现潜在的安全问题,从而提升区块链项目的安全性能。

社区简介 用户指南 社区共识 常见问题