漏洞披露与 Bug Bounty
UpSwap 安全漏洞负责任披露流程。如发现安全问题,请按本指引联系 security@upswap.io。我们承诺 24 小时内确认收到。
生效日期: 最后更新: 版本: v1.0
我们感谢安全研究者的负责任披露,共同保护 UpSwap 用户的资金与数据安全。请按以下流程提交,我们承诺24 小时内确认收到。
1. 报告方式
发送邮件至 security@upswap.io,标题建议格式:
[Vulnerability] <一句话描述>。
邮件内请包含:
- 漏洞类型(XSS / CSRF / SQL Injection / SSRF / 业务逻辑 / 信息泄漏 / 加密缺陷 / 其他)
- 影响范围(用户钱包 / 用户数据 / 服务可用性 / 商业机密泄漏)
- 复现步骤(尽可能详细,含 URL / payload / 截图)
- 建议的修复方案(可选)
- 您的联系方式与 PGP 公钥(若有)
2. 范围
以下是在范围内的资产:
https://upswap.io主站(含所有子路径)- 所有
/api/*endpoints - Cloudflare Worker 业务逻辑(HMAC / nonce / KV 存储)
- 商业机密保护机制(任何能从客户端或公开 API 推断出上游供应商身份的漏洞)
- JurisdictionModal / Cookie / localStorage 处理
以下不在范围:
- 用户钱包(MetaMask / Phantom 等)本身的漏洞
- 上游流动性供应商(我们对接的路由网络)的合约 — 请直接向他们披露
- Cloudflare 基础设施漏洞 — 请向 Cloudflare HackerOne 披露
- 钓鱼站点 / 社工攻击 — 请举报至 security@upswap.io 我们会协助下架
- 速率限制(rate limit)绕过 — 仅当能证明产生实际损害(费用绕过 / DoS)时在范围内
- 已知缺陷(自动扫描器可发现的低级问题、本文档未明确禁止的行为)
3. 测试规则
- 不要对用户的真实订单进行干扰、查看或修改
- 不要进行 DoS / DDoS / 流量轰炸测试
- 不要使用未公开的 0day 在生产环境利用
- 测试时仅使用您自己的资金 / 测试地址,小额(< $10 等值)
- 发现漏洞后立即停止利用并提交报告,不得用于其他目的
- 未经书面授权不要公开披露(我们承诺 90 天内修复或协商延期)
4. 响应时效
- 24 小时内:确认收到报告
- 72 小时内:初步评估(确认 / 不在范围 / 需更多信息)
- 7 天内:对 critical / high 漏洞提供初步缓解方案
- 90 天内:漏洞完全修复并公开披露(协商一致前提下)
5. 致谢
对负责任披露的研究者,我们提供下列致谢:
- 致谢墙:在本页面增加 Hall of Fame 鸣谢
- 原型礼物:UpSwap 周边(贴纸
6. 严重程度分级
参考 CVSS v3.1:
- Critical (CVSS 9.0-10.0):用户资金损失 / 私钥泄漏 / 完全 RCE / 商业机密大规模泄漏
- High (CVSS 7.0-8.9):未授权访问用户数据 / 绕过 OFAC 制裁筛查 / 报价系统操纵
- Medium (CVSS 4.0-6.9):有限信息泄漏 / 非关键路径 XSS / 业务逻辑缺陷
- Low (CVSS 0.1-3.9):配置加固缺失 / 低影响信息泄漏
7. 法律安全港
我们承诺在以下条件下,不会对负责任披露行为采取法律行动:
- 您遵守本页面所有测试规则
- 您仅访问自己创建或公开的数据
- 您不公开披露漏洞细节直至协商一致
- 您不要求金钱赎金
本安全港不影响第三方权利,如您的测试影响其他用户或上游供应商,我们将无法保护您。
8. 致谢墙
感谢以下研究者帮助 UpSwap 变得更安全:
- 暂无 — 期待您是第一位 :)
9. 联系方式
所有安全相关问题:security@upswap.io
一般客服与紧急资金问题:support@upswap.io(此邮箱**不**适合披露未修复漏洞)