漏洞悬赏
安全是 6MM 的核心基础之一。
作为专业级数字资产衍生品交易基础设施,6MM 始终将系统安全、资金安全与交易稳定性置于最高优先级。
我们诚挚邀请独立安全研究人员、合作伙伴及技术专家,通过负责任的方式协助发现潜在安全问题,共同提升 6MM 及其生态系统的安全水平。
项目目标
6MM 漏洞悬赏计划旨在:
尽早识别并修复潜在安全漏洞
保护合作伙伴平台及其用户资产安全
维护交易系统的连续性与稳定性
建立清晰、专业、可持续的漏洞披露机制
测试范围
漏洞测试范围可能包括但不限于以下系统模块:
交易撮合引擎与核心交易逻辑
保证金、风控与强制平仓机制
API / SDK 接口及权限控制
Web 与移动端访问层
身份验证、会话管理与授权流程
系统配置、基础设施与部署安全
具体测试范围可能会随着系统升级进行调整。
负责任披露原则
参与漏洞悬赏计划的研究人员需遵循以下基本原则:
仅通过指定联系方式私下提交漏洞报告
在漏洞被修复前,不进行任何形式的公开披露
提供清晰的漏洞描述、复现步骤及潜在影响评估
不得利用漏洞进行资产操作、数据泄露或破坏行为
6MM 承诺对所有有效报告进行认真评估与及时响应。
漏洞等级与奖励机制
漏洞奖励将根据以下因素综合评定:
漏洞严重等级(Critical / High / Medium / Low)
对系统安全、资金安全或交易稳定性的潜在影响
报告内容的专业性、完整性与可复现性
高危或关键级漏洞可能获得更高等级的奖励。
具体奖励标准、支付方式及规则可能根据合作伙伴政策进行调整。
不在悬赏范围内的情况
以下情况通常不纳入漏洞悬赏计划:
社会工程学攻击(如钓鱼、欺骗)
拒绝服务攻击(DoS / DDoS)
第三方服务、云厂商或外部依赖中的漏洞
需要物理接触设备才能实施的问题
漏洞提交与联系方式
请通过以下方式提交安全漏洞报告:
📧 安全邮箱(Security Email)
📝 提交内容建议包含:
漏洞详细描述
影响范围与风险评估
复现步骤或 PoC(如适用)
相关截图、日志或测试环境说明
请勿将漏洞信息发送至客服、商务或公开渠道。
漏洞处理流程
当 6MM 收到有效漏洞报告后,将遵循以下流程:
安全团队确认并审核漏洞有效性
评估漏洞影响与风险等级
开发、测试并部署修复方案
向报告者反馈处理结果
符合条件的报告将发放奖励或官方致谢
结语
6MM 坚信,开放协作与负责任披露是构建长期安全系统的关键。
我们期待与安全社区携手,共同打造一个稳定、可靠、值得信赖的交易基础设施。
如有任何安全相关问题,欢迎随时与我们联系。
最后更新于