Feedback-Arten und -Stufen

Veröffentlicht am 4. Aug. 2025Aktualisiert am 26. Sept. 2025Lesezeit: 10 Min.

Nachdem Nutzer Feedback eingereicht haben, sollten sie auf die Prüfungsergebnisse warten. Wenn die Nutzer die Prüfungsergebnisse genehmigen, erhalten sie die Prämie für die entsprechende Stufe. Hinweis: Dieses Prämienprogramm ist nur für Nutzer auf der Whitelist verfügbar.

Vorlage zum Einreichen von Schwachstellen

  1. Sicherheitslückenanforderungspaket oder URL (Text, keine Screenshots) oder Vorgangsschritte (z. B. Einstellungen -> Persönliche Daten -> Problem beim Bild-Upload). Einstellungen

  2. Nutzlast der Sicherheitslücke.

  3. Nachweis des Schwachstellenrisikos (Bewertung erfolgt entsprechend der Risikostufe).

Mängel und Vorschläge

Schwere Fehler (100 USDC)

  1. Wichtige Funktionen können nicht ausgeführt werden (z. B. Transaktionen werden nicht abgeschlossen, Orders können nicht platziert werden).

  2. Der Fehler weitet sich aus und betrifft auch den normalen Betrieb wichtiger Funktionen.

  3. Durch außergewöhnliche Vorgänge (z. B. Vorgänge, die Nutzer bei Verwendung der Software nicht ausführen) stürzt die App ab, friert ein und führt Endlosschleifen aus.

  4. Mängel, die in Bezug auf die Darstellung nicht akzeptabel sind (z. B. Verzerrung, Komprimierung oder Deformation eines Bildes).

  5. Sicherheitsprobleme, die zu Datenlecks führen (z. B. Offenlegung privater Kontodaten durch bösartige Angriffe).

Allgemeine Fehler (30 USDC)

Mängel, die sich nicht auf den Betrieb des Produkts auswirken oder keine Ausfälle verursachen, aber das Erscheinungsbild des Produkts oder die folgenden Prozesse stark beeinflussen.

  1. Die sekundären Funktionen können nicht normal ausgeführt werden.

  2. Fehler auf der Benutzeroberfläche (z. B. uneinheitliche Bedeutungen von Spaltennamen und Beschreibungen im Datenfenster).

  3. Anfragefehler oder Fehler bei der Datenanzeige.

  4. Einfache Eingabebeschränkungen sind im Frontend nicht umgesetzt (z. B. Anzeigeformatentscheidung bei Anmeldung und Registrierung sollte im Frontend aktiviert sein).

Anzeigefehler (10 USDC)

Anzeigen sind nicht angemessen und entsprechen nicht dem Nutzerverhalten:

  1. Die Benutzeroberfläche ist nicht richtig konzipiert.

  2. Die Beschreibung oder Anweisung für eine bestimmte Funktion ist unklar.

Sprache

Sprachbezogene Probleme (10 USDC)

  1. Die Grammatik in der UI-Kopie ist fehlerhaft

  2. Falsche Interpunktion.

  3. Tippfehler.

  4. Unklare Inhalte.

Sicherheitslücken – Regeln & Berechtigung

Unser Bug-Bounty-Programm bietet fünf Sicherheitsrisikostufen: extrem, kritisch, hoch, mittel und niedrig. Ein White-Hat wird mit bis zu 1.000.000 USDC belohnt, um White-Hats zu motivieren, uns bei der Entdeckung möglicher Schwachstellen zu helfen. Wir hoffen, mit diesem System eine stabilere und zuverlässigere Handelsumgebung für alle Nutzer zu schaffen.

Risikostufe

Je nach potenziellen Gefahren werden Schwachstellen in fünf Stufen unterteilt, nämlich extrem, kritisch, hoch, mittel und niedrig. OKX prüft den Schweregrad einer gemeldeten Schwachstelle anhand der folgenden Kriterien:

Extrem (nur Web3)

Kriterien: Betrifft alle Nutzer > 60-minütige Ausfallzeiten oder > 500.000 $ potenzieller Verlust.

  • Massenhafte Kompromittierung von Mitteln/Private-Keys ohne Interaktion oder groß angelegte Datenverstöße.

Kritisch

Web2

  • Remote Code Execution (RCE): Ausführung von eigenem Code auf OKX-Servern

  • SQL Injection (Core DB): Groß angelegter Datenzugriff/-änderung in der zentralen Produktionsdatenbank von OKX

  • Backend-Übernahme von Admins: Erlangung kritischer Adminrechte

  • Massenhafte Kontoübernahme: Systematische Übernahme eines Großteils der Nutzerkonten, von der in der Regel mehr als 50 % der Nutzer betroffen sind.

  • Ausführung von Systembefehlen: Ausführen von Betriebssystembefehlen auf Servern

Mobilgerät

  • Remote-Exploits: Remote-Kompromittierung der App-Integrität oder Ausführung von Code auf der OKX-Infrastruktur.

  • Massiver Datenverstoß: Unbefugter Zugriff auf große Mengen von Nutzerdaten durch Anwendungsfehler.

  • Übernahme von Adminrechten: Erlangung von Backend-Adminrechten über mobile Vektoren.

  • Ausführung von Systembefehlen: Ausführung von Betriebssystembefehlen auf Anwendungsservern.

  • SQL/NoSQL-Injection: Ausnutzung mobiler API-Endpunkte zur Manipulation von Backend-Datenbankabfragen, was zu einer massiven Exfiltration/Veränderung sensibler Daten (personenbezogene Daten, Finanzinformationen, Anmeldedaten) oder einer Kompromittierung des Backend-Systems führt.

Desktop-Clients

  • Remote Code Execution (RCE): Ausführung von eigenem Code auf dem Client oder dem verbundenen Server über die Desktop-Anwendung.

  • Übernahme von Adminrechten: Erlangung der administrativen Kontrolle über das Backend über den Client (z. B. serverseitige SSRF).

  • Ausführung von Systembefehlen: Ausführung von Betriebssystembefehlen auf dem Client oder Backend-Server aufgrund von Fehlkonfigurationen oder unsicherer Eingabeverarbeitung.

Web3

Kriterien: Betrifft > 50 % der Nutzer > 15 Min. Ausfallzeiten oder > 100.000 $ potenzieller Verlust.

  • Remote-Exploits auf Validatoren/Kontrakte oder Admin-Übernahmen.

Hoch

Web2

  • Gespeicherte XSS-Würmer: Sich selbst replizierende Cross-Site-Scripting-Angriffe auf kritischen, für Nutzer zugänglichen Seiten.

  • CSRF (kritische Aktionen): CSRF, die zu einer Kompromittierung des Kontos oder zu unbefugten Aktionen in Bezug auf Assets führen.

  • Kontozugriff in großem Umfang: Unbefugter Zugriff auf mehrere Nutzerkonten aufgrund von Schwachstellen in der Authentifizierungs- oder Autorisierungslogik.

  • SQL-Injection (begrenzt): Extrahieren bestimmter sensibler Daten

  • Quellcode-Leck: Offenlegung von bedeutendem Backend- oder internem Quellcode

  • SSRF (kontextbezogene Auswirkungen): SSRF, das interne Dienste erreicht (der Schweregrad von SSRF hängt von den Auswirkungen des erzielten internen Zugriffs ab).

Mobilgerät

  • CSRF (kritische Aktionen): CSRF, die zu einer Kompromittierung des Kontos oder zu unbefugten Aktionen in Bezug auf Assets führen.

  • SSRF (kontextbezogene Auswirkungen): SSRF greift über mobile Endpunkte auf interne Systeme oder Dienste zu.

  • Offenlegung sensibler Daten: Weitergabe verschlüsselter oder sensibler Informationen, die von der App gespeichert oder verarbeitet werden.

  • Transaktionsstörungen: Anwendungsfehler, die den Handel, Einzahlungen oder Auszahlungen beeinträchtigen.

  • Logikfehler (Auswirkungen auf den Fonds): Ausnutzen der Anwendungslogik, um Guthaben zu manipulieren oder nicht autorisierte Transaktionen durchzuführen.

  • Quellcode-Leck: Offenlegung eines wichtigen Quellcodes der Anwendung.

  • Unbefugte Vorgänge: Durchführung unbefugter Transaktionen oder Finanzgeschäfte durch Ausnutzung von App-Sicherheitslücken.

Desktop-Clients

  • CSRF (Kontoübernahme oder Geldtransfers): Gefälschte Kundenanfragen, die zu kritischen authentifizierten Aktionen führen.

  • SSRF (kontextbezogene Auswirkung): Gefälschte Anfragen von der App an interne Dienste.

  • Offenlegung sensibler Daten: Offenlegung verschlüsselter Seeds oder lokaler sensibler Daten über App-Funktionen.

  • Transaktionsstörungen: Fehler auf Client-Seite, die gültige Trades, Einzahlungen oder Auszahlungen verhindern.

  • Logikfehler (Auswirkungen auf den Fonds): Ausnutzung der clientseitigen Logik zur Manipulation von Kontoguthaben oder Überweisungsvorgängen.

Web3

Kriterien: Betrifft > 30 % der Nutzer > 10 Min. Ausfallzeiten oder > 50.000 $ potenzieller Verlust.

  • Validatorem-Probleme, Fehler in der Fondslogik oder Code-Lecks.

Mittel

Web2

  • Gespeichertes XSS (Interaktion): Persistentes Cross-Site-Scripting, das eine Nutzerinteraktion erfordert, um ausgelöst zu werden.

  • CSRF (Kerngeschäft): CSRF, das auf nicht kritische Geschäftsaktionen abzielt.

  • Auth-Umgehung (begrenzt): Unbefugter Zugriff auf Backend- oder Nutzerdaten ohne finanzielle Auswirkungen.

  • Übernahme von Subdomains: Kontrolle über ungenutzte Subdomains mit Reputations- oder Phishing-Risiko.

  • Fehler im Verifizierungscode: Schwachstellen in der Logik zur Verifizierung der Anmeldung oder Passwortzurücksetzung.

  • Offenlegung sensibler Daten: Offenlegung verschlüsselter oder interner Nutzerdaten über zugängliche Schnittstellen.

  • Klartext-Anmeldedaten: Fest codierte Anmeldedaten im Quellcode oder in Konfigurationsdateien, ausgenommen API-Schlüssel.

Mobilgerät

  • Gespeichertes XSS (Interaktion): Persistentes Cross-Site-Scripting innerhalb von Komponenten mobiler Apps, das eine Interaktion des Nutzers erfordert.

  • CSRF (Kerngeschäft): Cross-Site-Request-Forgery, die auf nicht kritische Geschäftslogik abzielt.

  • Auth-Umgehung (begrenzt): Unbefugter Zugriff auf Nutzerdaten oder Konfigurationen ohne finanzielle Auswirkungen.

  • Lokale Speicherlecks: Offenlegung sensibler, in Apps gespeicherter Daten, wie z. B. Sitzungstoken oder verschlüsselte Anmeldedaten.

  • Verifizierungsmängel: Schwachstellen bei OTP-, Anmelde- oder Zurücksetzungsmechanismen aufgrund unzureichender Validierung oder Ratenbegrenzung.

  • Klartext-Anmeldedaten: Fest codierte Geheimnisse in App-Dateien, ausgenommen API-Schlüssel.

Desktop-Clients

  • CSRF (Kerngeschäft): Fälschen nicht sensibler Kundenaktionen, wie z. B. Änderungen an Einstellungen.

  • Auth-Umgehung (eingeschränkt): Unbefugter Zugriff auf Konfigurationen auf Nutzerebene oder eingeschränkte Client-Ansichten.

  • Lokale Speicherlecks: Offenlegung von ausnutzbaren Daten, die vom Client gespeichert werden, wie z. B. Sitzungstoken oder Authentifizierungsgeheimnisse, ohne angemessenen Schutz oder Zugriffskontrolle.

  • Klartext-Anmeldedaten: Fest codierte Geheimnisse (mit Ausnahme von API-Schlüsseln), die in Client-Konfigurationen oder Binärdateien eingebettet sind.

Web3

Kriterien: Erfordert Interaktion oder begrenzten Umfang.

  • Interaktionsbasierte Wallet-Exploits oder Transaktionsstörungen.

Niedrig

Web2

  • Reflektiertes XSS: Nicht persistentes Cross-Site-Scripting in URLs oder Parametern.

  • DOM/Flash XSS: Clientseitiges Cross-Site-Scripting ohne Backend-Interaktion.

  • Offene Weiterleitungen: Weiterleitung von Nutzern zu externen Domänen ohne Validierung.

  • Allgemeine Informationslecks: Offenlegung interner Pfade, Verzeichnisse oder Debugging-Schnittstellen.

  • Häufige CSRF: CSRF, die auf nicht sensible Nutzeraktionen abzielt.

  • HTTP-Header-Manipulation: Ändern von Headern mit geringen Auswirkungen, wie z. B. Cache-Verhalten oder Weiterleitungen.

Mobilgerät

  • Komponenten-Exposition: Unbeabsichtigte Exposition von App-Komponenten, wie beispielsweise exportierte Android-Aktivitäten oder iOS-Dienste.

  • Offene Weiterleitungen: Nicht validierte Weiterleitungen in App-Abläufen.

  • HTTP-Header-Probleme: Geringfügige Manipulation des Headers mit vernachlässigbaren Auswirkungen.

Desktop-Clients

  • Lokaler DoS: Absturz der Desktop-Anwendung durch fehlerhafte Dateien oder Eingaben.

  • Geringfügige Fehlkonfigurationen: Offenlegung temporärer oder lokaler Dateien ohne sensible Daten oder direkte Ausnutzbarkeit.

Web3

Kriterien: Minimale Auswirkung oder Ausnutzbarkeit.

  • Probleme mit der Stabilität der Nodes oder kleinere Leaks.

Zusätzliche Richtlinien

  • IDOR: Muss den ID-Erkennungspfad nachweisen, nicht nur Brute-Force.

  • Mobilgeräte: Melde jede Sicherheitslücke einmal pro Plattform (iOS/Android).

  • Duplikate: Gleiches Problem in mehreren Assets = ein Bericht.

  • Falsch positive Ergebnisse, geringe Auswirkungen auf das Geschäft oder nicht ausnutzbare Fehler werden nicht belohnt, können jedoch anerkannt werden.

Ausgeschlossen

  • Berichte von automatisierten Tools oder Scannern

  • Falsch positives SQL-Injection ohne funktionierenden PoC, der die Extraktion von Datenbank-/Nutzernamen demonstriert

  • Spam-Schwachstellen, E-Mail-Spoofing, E-Mail-Bombing usw.

  • Self-XSS

  • Verwendung bekannter anfälliger Bibliotheken/Komponenten ohne funktionierenden PoC

  • Clickjacking auf Seiten ohne sensible Aktionen

  • Cross-Site Request Forgery (CSRF) bei nicht authentifizierten oder wenig kritischen Formularen

  • Angriffe, die MITM, Root/Jailbreak oder physischen Zugriff auf das Gerät eines Nutzers erfordern

  • Bereits bekannte anfällige Bibliotheken ohne funktionierenden PoC

  • CSV-Injection ohne Nachweis der Ausnutzung

  • Fehlende SSL/TLS Best Practices (z. B. schwache Verschlüsselungen, Protokollversionen)

  • Denial-of-Service (DoS) oder Versuche, den Dienst zu stören

  • Content-Spoofing oder Text-Injection ohne HTML/CSS-Modifikation oder Angriffsvektor

  • Rate Limiting oder Brute-Force-Probleme bei Endpunkten ohne Authentifizierung

  • Fehlende Best Practices für die Sicherheit von Inhalten

  • Fehlendes HttpOnly oder Sicherheitsflaggen auf Cookies

  • Fehlende oder ungültige SPF/DKIM/DMARC-Aufzeichnungen

  • Sicherheitslücken, die nur veraltete/nicht gepatchte Browser betreffen (älter als 2 stabile Versionen)

  • Offenlegung der Softwareversion, Banner-Informationen, Stapelverfolgungen oder ausführliche Fehlermeldungen

  • Öffentliche 0-Days mit Patches, die vor weniger als einem Monat veröffentlicht wurden (von Fall zu Fall)

  • Tabnabbing

  • Schwachstellen, die ungewöhnliche Nutzerinteraktion erfordern

  • Schwachstellen, die den internen Teams bereits bekannt sind

  • Empfehlungen zu Best Practices (z. B. Harding-Vorschläge)

  • Schwachstellen in Zusammenhang mit Wordpress

  • DLL-Hijacking ohne Nachweis einer Privilegienausweitung

  • Umgehung der Ratenbegrenzung durch einfache Änderung der IP-Adresse oder Geräte-ID

  • Adressleiste, URL oder Domain-Spoofing in mobilen In-App-Browsern (z. B. dApp- oder WebView-basierten Browsern)

  • Offenlegung sensibler Daten in sozialen Medien

  • Interne Domain-Übernahmen außerhalb von okx.com, okg.com oder oklink.com

  • Clients (Desktop/Mobilgeräte), die nicht aus offiziellen Quellen heruntergeladen wurden, fallen nicht in den Geltungsbereich

  • Nachweis der Reserven wird als Leak eines „sensiblen Dokuments“ gemeldet

  • Berichte, die ausschließlich auf einer statischen Analyse von Binärdateien ohne PoC basieren, die die Geschäftslogik beeinträchtigen

  • Fehlende Verschleierung, Binärschutz oder Jailbreak-/Root-Erkennung

  • Umgehung der Zertifikatsbindung auf gerooteten/jailbroken Geräten

  • Fehlende Exploit-Mitigation (z. B. PIE, ARC, Stack Canaries)

  • Sensible Daten in URLs oder Anfragekörpern, wenn sie durch TLS geschützt sind

  • Pfadoffenlegung in Binärdateien

  • Hardcodierte/wiederbringbare App-Geheimnisse in IPA/APK ohne geschäftliche Auswirkungen

  • Sensible Daten, die im privaten Verzeichnis der App gespeichert sind

  • App stürzt aufgrund fehlerhafter URL-Schemas oder exportierter Komponenten ab

  • Laufzeit-Exploits, die nur in einer gerooteten/jailbroken Umgebung möglich sind (z. B. über Frida)

  • Über die Zwischenablage weitergegebene Links

  • URI-Leaks durch bösartige Apps mit Berechtigungen

  • Offenlegung von API-Schlüsseln ohne nachgewiesene Auswirkungen auf die Sicherheit (z. B. Google Maps-API-Schlüssel oder Schlüssel, die in unseren öffentlichen GitHub-Repositorys zu finden sind)

  • Dienste von Drittanbietern (sofern nicht ausdrücklich zulässig)

  • Dienste, die nicht im Besitz von OKX sind (z. B. Schwachstellen bei Cloud-Anbietern)

Allgemeine Bestimmungen

  • Melde die Schwachstelle als Erster.

  • Stelle einen klaren PoC mit Reproduktionsschritten bereit.

  • Vermeide Tests, die sich auf echte Nutzerkonten auswirken.

  • Führe keine Denial-of-Service-Angriffe, Spam oder Social Engineering durch.

  • Versuche nicht, ohne Erlaubnis auf Nutzerdaten zuzugreifen oder diese zu ändern.

Streitbeilegung

Wenn du uns etwas über das Meldeverfahren, die Risikostufen und die Risikobewertung mitteilen möchtest, wende dich umgehend an den Kundensupport.