安全架构

漏洞悬赏

以 Markdown 格式查看

安全是 6MM 的核心基础之一。

作为专业级数字资产衍生品交易基础设施,6MM 始终将系统安全、资金安全与交易稳定性置于最高优先级。

我们诚挚邀请独立安全研究人员、合作伙伴及技术专家,通过负责任的方式协助发现潜在安全问题,共同提升 6MM 及其生态系统的安全水平。

项目目标

6MM 漏洞悬赏计划旨在:

  • 尽早识别并修复潜在安全漏洞
  • 保护合作伙伴平台及其用户资产安全
  • 维护交易系统的连续性与稳定性
  • 建立清晰、专业、可持续的漏洞披露机制

测试范围

漏洞测试范围可能包括但不限于以下系统模块:

  • 交易撮合引擎与核心交易逻辑
  • 保证金、风控与强制平仓机制
  • API / SDK 接口及权限控制
  • Web 与移动端访问层
  • 身份验证、会话管理与授权流程
  • 系统配置、基础设施与部署安全

具体测试范围可能会随着系统升级进行调整。

负责任披露原则

参与漏洞悬赏计划的研究人员需遵循以下基本原则:

  • 仅通过指定联系方式私下提交漏洞报告
  • 在漏洞被修复前,不进行任何形式的公开披露
  • 提供清晰的漏洞描述、复现步骤及潜在影响评估
  • 不得利用漏洞进行资产操作、数据泄露或破坏行为

6MM 承诺对所有有效报告进行认真评估与及时响应。

漏洞等级与奖励机制

漏洞奖励将根据以下因素综合评定:

  • 漏洞严重等级(Critical / High / Medium / Low)
  • 对系统安全、资金安全或交易稳定性的潜在影响
  • 报告内容的专业性、完整性与可复现性

高危或关键级漏洞可能获得更高等级的奖励。

具体奖励标准、支付方式及规则可能根据合作伙伴政策进行调整。

不在悬赏范围内的情况

以下情况通常不纳入漏洞悬赏计划:

  • 社会工程学攻击(如钓鱼、欺骗)
  • 拒绝服务攻击(DoS / DDoS)
  • 第三方服务、云厂商或外部依赖中的漏洞
  • 需要物理接触设备才能实施的问题

漏洞提交与联系方式

请通过以下方式提交安全漏洞报告:

📧 安全邮箱(Security Email)

security@6mm.com

📝 提交内容建议包含:

  • 漏洞详细描述
  • 影响范围与风险评估
  • 复现步骤或 PoC(如适用)
  • 相关截图、日志或测试环境说明

请勿将漏洞信息发送至客服、商务或公开渠道。

漏洞处理流程

当 6MM 收到有效漏洞报告后,将遵循以下流程:

  1. 安全团队确认并审核漏洞有效性
  2. 评估漏洞影响与风险等级
  3. 开发、测试并部署修复方案
  4. 向报告者反馈处理结果
  5. 符合条件的报告将发放奖励或官方致谢

结语

6MM 坚信,开放协作与负责任披露是构建长期安全系统的关键。

我们期待与安全社区携手,共同打造一个稳定、可靠、值得信赖的交易基础设施。

如有任何安全相关问题,欢迎随时与我们联系。