项目概述
imKey 为用户提供区块链安全产品及解决方案。 imKey 于 2018 年创立,核心成员来自区块链钱包、金融机构和安全硬件厂商等,具有嵌入式安全和加密货币背景且互补。创立之初,imKey 即获得全球知名区块链钱包 imToken 天使投资,长期专注于加密资产安全领域研究。
业务范围
- 网站和应用程序: *.imkey.im
- 源代码(Github):
- 物理硬件:imKey硬件钱包
奖励规则
- 赏金计划会由 imKey 团队来判定赏金的数量,诸如影响的严重程度,条件资格等相关条件
- 公开披露漏洞没有资格获得赏金,需透过 support@imkey.im 来递交申请
- 若问题曾经由他人回报或已知,则不符合赏金奖励条件
- 需要提供文件或步骤来重现漏洞的实现
奖励标准
赏金的数量主要由风险的严重性来衡量
| 严重程度 | 描述 | 赏金 |
| Critical (严重漏洞) | 严重级别的漏洞会对项目的安全性产生重大影响。 | $5000-$10000 |
| High (高危漏洞) | 高危漏洞会影响项目的正常运行。 | $1000-$5000 |
| Medium (中危漏洞) | 中等严重程度的漏洞会影响项目的运行。 | $500-$1000 |
| Low (低危漏洞) | 低危漏洞在某些情况下可能会影响项目的运行。 | $10-$500 |
其他衡量标准
除了严重程度,下列因素也是我们考虑赏金数量的标准
- 对漏洞有明确的描述
- 提供测试代码或指令来重现漏洞
- 提供如何修正漏洞
报告规则
- 奖励或表彰的前提是imkey 安全团队能够重现并验证问题,并且安全影响是明确的;
- 重现步骤需要清晰明确,可以包括屏幕截图、视频、脚本等;
- 不要对他人进行社交工程和网络钓鱼;
- 不要泄露漏洞的详细信息;
- 请勿使用扫描仪进行大规模扫描。如遇业务系统或网络故障,将依法处理;
- 测试此漏洞的人员应尽量避免直接修改页面、持续弹出消息框(建议使用日志进行 XSS 验证)、窃取 Cookie 以及获取攻击性载荷(例如用户信息)(盲测 XSS 请使用 DNSLog)。如果您不小心使用了攻击性载荷,请及时删除。
- 漏洞测试仅限于概念验证(PoC),严禁进行破坏性测试。如果在测试过程中意外造成损害,应及时报告。同时,测试中执行的敏感操作,例如删除、修改等,需要在报告中加以说明。
处理流程
报告阶段
-
报告者联系 imKey 团队邮箱或是通过官方提交安全漏洞。(状态:待审核)
- 邮箱:support@imkey.im
处理阶段
- 三个工作日内,imKey 团队会确认收到的威胁情报,并开始跟进评估问题, 同时将情报反馈给 imKey 技术团队。(状态:审核中)
- 七个工作日内imKey 技术团队处理问题、给出结论并计分 (状态:已确认/已忽略)。必要时会与报告者沟通确认,请报告者予以协助。
修复阶段
- imKey 业务部门修复威胁情报中反馈的安全问题并安排更新上线 (状态:已修复)。修复时间根据问题的严重程度及修复难度而定,一般来说,严重和高危问题 24 小时内,中危问题三个工作日内,低危问题七个工作日内。客户端安全问题受版本发布限制,修复时间根据实际情况确定。
- 报告者复查安全问题是否修复。(状态:已复查/复查异议)
- 报告者确认安全问题已修复后,imKey 技术团队告知派盾安全团队处理结论和漏洞得分,再行发放奖励。(状态:已结束)
奖励发放原则
-
以等值 USD 的代币发放
-
稳定币
- USDT
- USDC
-
稳定币
重要声明:imKey 仅销售实体安全硬件产品,不提供任何虚拟资产交易、托管或资金相关服务。网站中提及的第三方钱包、交易所或去中心化应用仅用于说明产品可配合使用,相关功能与服务均由第三方独立提供。
0 条评论
文章评论已关闭。