Token钱包漏洞赏金计划
Token钱包作为专业的区块链安全钱包,始终将用户资产安全放在首位,现正式推出漏洞赏金计划,面向全球安全爱好者、白帽子黑客公开征集钱包安全漏洞。
我们将根据漏洞的严重程度、影响范围、利用难度划分赏金等级,最高奖励10BTC,所有合法合规挖掘的漏洞将被快速响应、专业审核、及时奖励,与全球白帽子共建安全、稳定的Token钱包生态。
★ 本计划适用于Token钱包全平台版本(Windows/Mac/iOS/Android),请确保使用官网正版最新版Token钱包进行漏洞测试。
赏金等级与奖励标准
漏洞等级按高危、中危、低危、优化建议划分,不同等级对应不同赏金奖励,奖励支持BTC/USDT/法币(三选一),高危漏洞经核实后将额外给予官方荣誉证书,优秀白帽子可加入Token钱包安全顾问团。
★ 高危漏洞
奖励:1-10BTC
可直接导致用户资产被盗、钱包崩溃、私钥泄露、交易篡改的严重漏洞;
影响全平台/超50%用户的核心功能漏洞;
远程代码执行、越权操作等可批量利用的漏洞。
★ 中危漏洞
奖励:0.1-1BTC / 等值USDT
局部功能异常,可能导致用户操作受阻的漏洞;
单平台/部分用户受影响的非核心功能漏洞;
信息泄露(非敏感信息)、界面篡改等低利用难度漏洞。
★ 低危漏洞
奖励:0.01-0.1BTC / 等值USDT
不影响功能使用的界面显示漏洞;
偶发的交互卡顿、提示错误等轻微漏洞;
单一用户场景下的非安全类问题。
★ 优化建议
奖励:官方周边/积分
产品功能优化、用户体验提升、逻辑改进等合理建议;
非漏洞类的产品改进方案,经采纳后发放奖励。
注:同一漏洞由多人提交,仅奖励首位有效提交者;漏洞赏金具体金额将根据漏洞实际危害程度由安全团队综合评估。
漏洞提交流程与官方渠道
请严格按照官方指定渠道提交漏洞,提交时需提供完整的漏洞信息,以便安全团队快速核实,非官方渠道提交的漏洞将不予受理。
提交流程(4步完成)
漏洞挖掘
正版钱包测试
信息整理
附测试步骤/截图
官方提交
指定渠道提交
审核奖励
核实后发奖励
官方唯一提交渠道
官方安全邮箱(首选)
邮箱地址:security@vituku.com
提交要求:邮件标题注明【漏洞赏金-漏洞类型-提交人】,正文包含漏洞描述、测试版本、复现步骤、截图/视频、影响范围、修复建议,附个人收款信息(BTC/USDT地址/银行卡)。
漏洞挖掘与认定规则
为保证计划的公平、公正、合规,所有漏洞挖掘与提交需遵循以下规则,违规挖掘将取消奖励资格,情节严重者将追究法律责任。
一、合法挖掘规则
1. 仅允许对Token钱包官网正版最新版进行测试,禁止对生产环境、用户真实数据进行攻击;
2. 禁止使用DDOS、暴力破解、钓鱼等恶意手段挖掘漏洞,禁止泄露挖掘过程中的任何平台信息;
3. 漏洞挖掘过程中需避免对Token钱包服务器、用户体验造成大规模影响。
二、漏洞认定标准
1. 漏洞需为首次发现,且未被公开披露、未被其他白帽子提交;
2. 提交的漏洞信息需完整、可复现,无完整复现步骤的漏洞将不予审核;
3. 已在官方更新日志中修复的漏洞、已知问题,不予奖励;
4. 因用户误操作、网络环境、第三方软件导致的问题,不属于漏洞范畴。
三、赏金发放规则
1. 漏洞提交后,安全团队将在1-3个工作日内完成初步审核,7个工作日内完成最终核实;
2. 漏洞核实后,将在3个工作日内与提交人确认奖励方式,确认后24小时内发放赏金;
3. 所有赏金均为税前金额,官方将依法代扣代缴个人所得税。
常见问题解答
Q1:哪些版本的Token钱包参与漏洞赏金计划?
A:Token钱包全平台最新正式版(Windows/Mac/iOS/Android)均参与,测试版/内测版漏洞单独统计,奖励标准相同,建议下载官网最新版进行测试。
Q2:漏洞审核进度如何查询?
A:通过安全邮箱提交的,将通过邮件回复审核进度;通过安全提交平台提交的,可直接在平台查看;所有漏洞审核结果将在新闻中心每月公示。
Q3:未成年人可以参与漏洞赏金计划吗?
A:可以参与,但需由法定监护人代为提交漏洞并领取赏金,提交时需附监护人身份证明材料。
Q4:漏洞修复后,会公开漏洞细节吗?
A:为保护用户资产安全,高危/中危漏洞修复前将严格保密,修复完成后会在官方安全公告中简要披露漏洞类型,不会公开具体复现步骤。
Q5:加入Token钱包安全顾问团有什么福利?
A:优秀白帽子加入安全顾问团后,可获得每月固定津贴、提前体验钱包新功能、参与产品安全设计、受邀参加全球区块链安全峰会等福利。