> For clean Markdown of any page, append .md to the page URL.
> For a complete documentation index, see https://docs.6mm.com/llms.txt.
> For AI client integration (Claude Code, Cursor, etc.), connect to the MCP server at https://docs.6mm.com/_mcp/server.

# 漏洞悬赏

安全是 6MM 的核心基础之一。

作为专业级数字资产衍生品交易基础设施，6MM 始终将系统安全、资金安全与交易稳定性置于最高优先级。

我们诚挚邀请独立安全研究人员、合作伙伴及技术专家，通过**负责任的方式**协助发现潜在安全问题，共同提升 6MM 及其生态系统的安全水平。

***

<h2 id="program-objectives">
  项目目标
</h2>

6MM 漏洞悬赏计划旨在：

* 尽早识别并修复潜在安全漏洞
* 保护合作伙伴平台及其用户资产安全
* 维护交易系统的连续性与稳定性
* 建立清晰、专业、可持续的漏洞披露机制

***

<h2 id="scope-of-testing">
  测试范围
</h2>

漏洞测试范围可能包括但不限于以下系统模块：

* 交易撮合引擎与核心交易逻辑
* 保证金、风控与强制平仓机制
* API / SDK 接口及权限控制
* Web 与移动端访问层
* 身份验证、会话管理与授权流程
* 系统配置、基础设施与部署安全

具体测试范围可能会随着系统升级进行调整。

***

<h2 id="responsible-disclosure-policy">
  负责任披露原则
</h2>

参与漏洞悬赏计划的研究人员需遵循以下基本原则：

* **仅通过指定联系方式私下提交漏洞报告**
* 在漏洞被修复前，不进行任何形式的公开披露
* 提供清晰的漏洞描述、复现步骤及潜在影响评估
* 不得利用漏洞进行资产操作、数据泄露或破坏行为

6MM 承诺对所有有效报告进行认真评估与及时响应。

***

<h2 id="severity-levels-and-rewards">
  漏洞等级与奖励机制
</h2>

漏洞奖励将根据以下因素综合评定：

* 漏洞严重等级（Critical / High / Medium / Low）
* 对系统安全、资金安全或交易稳定性的潜在影响
* 报告内容的专业性、完整性与可复现性

**高危或关键级漏洞**可能获得更高等级的奖励。

具体奖励标准、支付方式及规则可能根据合作伙伴政策进行调整。

***

<h2 id="out-of-scope-issues">
  不在悬赏范围内的情况
</h2>

以下情况通常不纳入漏洞悬赏计划：

* 社会工程学攻击（如钓鱼、欺骗）
* 拒绝服务攻击（DoS / DDoS）
* 第三方服务、云厂商或外部依赖中的漏洞
* 需要物理接触设备才能实施的问题

***

<h2 id="vulnerability-submission-and-contact">
  漏洞提交与联系方式
</h2>

请通过以下方式提交安全漏洞报告：

📧 **安全邮箱（Security Email）**

`security@6mm.com`

📝 **提交内容建议包含：**

* 漏洞详细描述
* 影响范围与风险评估
* 复现步骤或 PoC（如适用）
* 相关截图、日志或测试环境说明

请勿将漏洞信息发送至客服、商务或公开渠道。

***

<h2 id="response-process">
  漏洞处理流程
</h2>

当 6MM 收到有效漏洞报告后，将遵循以下流程：

1. 安全团队确认并审核漏洞有效性
2. 评估漏洞影响与风险等级
3. 开发、测试并部署修复方案
4. 向报告者反馈处理结果
5. 符合条件的报告将发放奖励或官方致谢

***

<h2 id="closing-statement">
  结语
</h2>

6MM 坚信，开放协作与负责任披露是构建长期安全系统的关键。

我们期待与安全社区携手，共同打造一个**稳定、可靠、值得信赖的交易基础设施。**

如有任何安全相关问题，欢迎随时与我们联系。