漏洞赏金计划

为持续加强平台安全防护能力，EasiCoin 正式推出漏洞赏金计划（Bug Bounty Program）。我们诚邀全球安全研究人员与技术社区成员积极参与，协助我们发现并修复潜在安全漏洞，共同构建可信、稳固的加密资产交易环境。

参与方式

如您发现任何与 EasiCoin 平台相关的潜在漏洞，请将详细信息发送至官方安全邮箱：

安全报告邮箱：[email protected]

安全团队将在第一时间进行验证与评估，并视情况主动与您沟通反馈，确保漏洞响应及时、流程透明。

适用范围

本计划适用于以下平台与系统：

• 所有归属于 *.easicoin.io 域名的系统、前端与后台服务

奖励机制

EasiCoin 将根据漏洞的影响范围、技术复杂性、可利用程度和实际风险等级，给予不同级别的奖励。奖励形式与发放方式将根据内部评估流程执行，详情请以官方回复为准。

Web 安全漏洞定义

严重风险（Critical Severity）

• 获取核心控制系统权限

• 控制大规模内部基础设施

• 获取后端超级管理员权限

• 智能合约核心漏洞（如溢出、重入、逻辑绕过）

• 示例：服务器批量控制、关键数据完全泄露或被修改

高风险（High Severity）

• 命令执行 / Getshell

• SQL 注入、SSRF、XXE

• 任意文件读取、资金相关的未授权访问

• 智能合约权限配置漏洞、交易绕过

中风险（Medium Severity）

• 存储型 XSS、核心流程中的 CSRF

• 拒绝服务（DoS）攻击

• 验证码绕过、敏感信息披露等

低风险（Low Severity）

• 客户端崩溃、DOM/反射型 XSS

• URL 重定向、路径遍历

• 非关键流程中的 CSRF

以下类型漏洞将不纳入奖励范围：

• 邮件伪造、Self-XSS、自身账号的 XSS 利用

• CSP/SRI 缺失、无实际影响的 Clickjacking

• 软件版本泄露、客户端缓存问题

• 针对员工的攻击或社工测试行为

智能合约漏洞标准

严重风险

• 投票机制篡改

• 可导致用户资金被窃取或资产永久冻结

• 协议运行过程中发生清算不足、MEV 攻击等

高风险

• 未领取收益被非法转移

• 合约逻辑缺陷导致锁仓或系统性异常

中风险

• 合约因代币余额异常无法执行

• Gas 异常消耗、DoS 攻击面

低风险

• 资产未损失但收益模型与承诺不一致

• 中心化依赖、治理机制缺陷、信息不对称等建议类问题

行为规范

为确保漏洞测试活动合法、合规，参与者必须遵守以下行为准则：

• 禁止任何形式的社会工程学攻击（Social Engineering）

• 禁止公开披露或传播漏洞内容

• 禁止上传恶意 Payload 或擅自发起 Cookie 窃取等攻击行为

• 禁止使用自动化工具进行无授权的批量扫描

• 禁止对生产系统进行破坏性测试，仅允许提交最小化 PoC（Proof of Concept）

如测试过程中造成非预期影响，请立即向我们报告并配合解决。若出现违反行为规范的情况，平台有权取消赏金资格，并保留追究法律责任的权利。

致谢

每一份有效的漏洞报告，都是对 EasiCoin 安全体系的有力补充。我们感谢所有安全研究者的专业精神与贡献，EasiCoin 将与全球技术社群携手，构建更加稳固可信的 Web3 生态。