# Программа вознаграждения за найденные уязвимости YUBIT Мы рады объявить о запуске **Программы вознаграждения за обнаружение уязвимостей YUBIT** и искренне призываем исследователей безопасности и участников сообщества принять участие, сообщая об уязвимостях. 📩 Пожалуйста, отправляйте отчёты об ошибках на: ****\ Наша команда безопасности оперативно рассмотрит и подтвердит полученные сообщения и свяжется с вами после подтверждения.\ Ваш вклад в безопасность очень ценен! *** ### 1. Bug Bounty для веба **Область тестирования:** * [www.yubit.com](https://www.yubit.com) **Диапазон вознаграждения:** * Низкий риск: **$50 – $100** * Средний риск: **$100 – $500** * Высокий риск: **$500 – $1,000** * Критический: **$1,000 – $5,000** *** ### 2. Определения степени серьёзности уязвимостей веба #### (1) Критические уязвимости Затрагивают ключевые бизнес-системы (системы управления, контроллеры домена, распределительные системы, бастион-хосты и т. д.) и могут причинить серьёзный ущерб.\ **Возможные последствия:** * Несанкционированное управление бизнес-системами * Доступ к правам администратора ключевой системы * Полный контроль над ключевой инфраструктурой\ **Примеры:** * Контроль над несколькими устройствами во внутренней сети * Доступ к правам супер-администратора на бэкенде, приводящий к крупным утечкам данных * Переполнение смарт-контракта или эксплуатация гонки условий #### (2) Уязвимости высокого риска * Повышение привилегий (GetShell, выполнение команд) * SQL-инъекция * Обход аутентификации, слабые пароли, SSRF, раскрытие конфиденциальных данных * Произвольное чтение файлов / XXE * Несанкционированные транзакции или обход логики оплаты * Серьёзные логические ошибки (например, вход от имени любого пользователя, массовый сброс паролей) * Сохранённый XSS (широкий эффект) * Крупномасштабная утечка исходного кода * Неправильные настройки привилегий смарт-контракта #### (3) Уязвимости среднего риска * Проблемы, требующие взаимодействия пользователя (например, сохранённый XSS, CSRF) * Горизонтальный/параллельный обход авторизации * Отказ в обслуживании (DoS) * Недостатки CAPTCHA, приводящие к атакам перебора * Утечка локального конфиденциального ключа #### (4) Уязвимости низкого риска * Локальный DoS (крах клиента) * Незначительное раскрытие информации (обход путей, список каталогов) * Отражённый/DOM XSS * Базовый CSRF * Проблемы перенаправления URL * Спам по SMS/электронной почте (ограниченно в пределах системы) * Другие проблемы с низким влиянием или недоказанные проблемы *** ### 3. Уязвимости, не принимаемые к рассмотрению * Подмена электронной почты * Перечисление пользователей * Self-XSS / HTML-инъекция * Отсутствие CSP / SRI * CSRF без воздействия на безопасность * Проблемы конфигурации Android (например, `android:allowBackup="true"`) * Проблемы, связанные только с производительностью (например, медленный рендеринг изображений) * Раскрытие версии стороннего компонента (например, версии Nginx) * Функциональные ошибки, не связанные с безопасностью * Социальная инженерия против сотрудников YUBIT *** ### 4. Определения уязвимостей смарт-контрактов #### (1) Критические * Манипуляция голосованием в управлении * Прямая кража средств пользователей (за исключением невостребованных вознаграждений) * Постоянная заморозка средств * Эксплуатация извлекаемой майнерами ценности (MEV) * Неплатёжеспособность протокола #### (2) Высокий риск * Кража или заморозка невостребованных вознаграждений/роялти * Временная заморозка средств #### (3) Средний риск * Остановка контракта из-за нехватки токенов * Использование перегрузки сети для получения прибыли * Кража газа или принудительное чрезмерное использование газа * Деструктивный, но не приносящий прибыли саботаж #### (4) Низкий риск * Нет прямой потери средств, но наносится ущерб доверию/обязательствам * Информационные риски (ошибки оракула, атаки на управление, риски ликвидности, атаки Сивиллы и т. д.) * Рекомендации по лучшим практикам *** ### 5. Запрещённые действия * Атаки социальной инженерии или фишинга * Публичное раскрытие или распространение деталей уязвимости * Деструктивное тестирование (допускается только Proof of Concept) * Несанкционированное массовое сканирование * Изменение веб-страницы, спам всплывающими окнами, кража cookie или навязчивые полезные нагрузки * Любой не сообщённый ущерб во время тестирования ⚠️ Несоблюдение правил может привести к **юридическим последствиям**. *** ### 6. Заключительное примечание Спасибо за ваш вклад в безопасность платформы YUBIT.\ Вместе мы можем построить **более безопасную и прозрачную криптоэкосистему**. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://yubit.gitbook.io/yubit/ru/drugaya-pomosh/programma-voznagrazhdeniya-za-naidennye-uyazvimosti-yubit.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.