Tipos de feedback e escalões

Publicado a 4/08/2025Atualizado a 26/09/2025Leitura de 14 minutos

Depois de os utilizadores enviarem feedback, devem aguardar pelos resultados da análise. Quando os utilizadores aprovarem os resultados da análise, receberão a recompensa do escalão correspondente. Nota: este programa de recompensas só está disponível para os utilizadores na lista de permissões.

Modelo de envio de vulnerabilidade

  1. 1. Pack de pedido de vulnerabilidade ou URL (texto, sem capturas de ecrã) ou passos da operação (por exemplo, Definições -> Informações pessoais > Problema com o carregamento da imagem).

  2. 2. Carregamento de falha.

  3. 3. Comprovativo do Risco de Vulnerabilidade (a classificação é atribuída de acordo com o nível de risco).

Defeitos e sugestões

Erros graves (100 USDT)

  1. 1. Não é possível concluir funções importantes (por exemplo, as transações não são concluídas, não é possível criar ordens).

  2. 2. O erro propaga-se e afeta as operações normais de outras funções importantes.

  3. 3. As falhas, congelamentos e loops infinitos da aplicação provocados por operações não convencionais (por exemplo, operações que os utilizadores não realizarão ao utilizarem o software).

  4. 4. Defeitos de aparência inaceitável (por exemplo, distorção, compressão ou deformação de uma imagem).

  5. 5. Problemas de segurança que causem fugas de dados (por exemplo, fugas de informações privadas da conta provocadas por ataques maliciosos)

Erros gerais (30 USDT)

Defeitos que não afetam as operações do produto nem causam falhas, mas têm um impacto bastante significativo na aparência do produto ou nos processos seguintes.

  1. As funções secundárias não podem ser executadas normalmente.

  2. 2. Erros de interface (por exemplo, Os significados dos nomes das colunas e descrições na janela de dados são inconsistentes).

  3. 3. Erro de consulta ou erro de apresentação de dados.

  4. 4. Restrições de entrada simples não são colocadas no front-end para controlo; (por exemplo, a decisão da apresentação do formato no início de sessão e o registo deve estar ativado no front-end)

Erros de apresentação (10 USDT)

As apresentações não são decentes e não se adaptam ao comportamento do utilizador:
1.

  1. A interface não está concebida corretamente.

  2. A descrição ou instrução para uma determinada função não é clara.

Idioma

Problemas de idioma (10 USDT)

  1. 1) A gramática da cópia de IU está incorreta

  2. Utilização incorreta da pontuação.

  3. Erros ortográficos.

  4. 4. Conteúdo confuso

Regras de falhas de segurança e elegibilidade

O nosso programa de recompensa por falha detetada oferece cinco escalões de risco de segurança, nomeadamente extremo, crítico, alto, médio e baixo. Um boné branco será recompensado com até 1 000 000 USDT para incentivar os bonés brancos a ajudar-nos a descobrir possíveis vulnerabilidades. Com este sistema, esperamos construir um ambiente de trading mais estável e fiável para todos os utilizadores.

Nível de risco

As vulnerabilidades são classificadas em cinco níveis, dependo dos possíveis perigos, nomeadamente extremas, críticas, altas, médias, e baixas. A OKX irá avaliar a gravidade de uma vulnerabilidade reportada através dos seguintes critérios:

Extremo (apenas Web3)

Critérios: afeta todos os utilizadores, >60 minutos de inatividade ou >500 000 USD em perdas potenciais.

  • Sem interação com comprometimento em massa de fundos/chaves privadas ou violações de dados em grande escala.

Crítico

Web2

  • Execução de código remoto (RCE): execução de código arbitrário em servidores OKX

  • Injeção de SQL (Core DB): Acesso a dados em grande escala/modificação na base de dados de produção principal da OKX

  • Controlo de backend de administradores: obter privilégios de administrador críticos

  • Controlo em massa de contas: Controlo sistemático de uma grande parte das contas de utilizadores, normalmente afetando >50% dos utilizadores

  • Execução de comandos de sistema: executar comandos de SO em servidores

Telemóvel

  • Explorações remotas: comprometimento remoto da integridade da aplicação ou execução de código na infraestrutura OKX.

  • Falha de dados em massa: acesso não autorizado a grandes volumes de dados de utilizadores através de falhas na aplicação.

  • Tomada do Privilégio de Admin: obter acesso administrativo de backend através de vectores móveis.

  • Execução de comandos de sistema: executar comandos do sistema operativo em servidores de aplicações.

  • Injeção SQL/NoSQL: utilizar pontos finais de API móveis para manipular as consultas de banco de dados de backend, o que leva à exfiltração/modificação em massa de dados confidenciais (PII, informações financeiras, credenciais) ou à comprometção do sistema de backend.

Clientes de ambiente de trabalho

  • Execução de código remoto (RCE): Execução de código arbitrário no cliente ou servidor ligado através da aplicação desktop.

  • Tomada do Privilégio de Admin: obter o controlo administrativo do back-end através do cliente (por exemplo, SSRF do lado do servidor).

  • Execução de comandos de sistema: Execução de comandos do sistema operativo no cliente ou servidor de backend através de configurações erradas ou manipulação de entradas insegura.

Web3

Critérios: afeta >50% dos utilizadores, >15 minutos de inatividade ou >100 000 USD em perdas potenciais.

  • Exploitações remotas em validadores/contratos ou assumências de administradores.

Alto

Web2

  • Worms XSS armazenados: scripting em vários sites auto-replicado em páginas críticas para utilizadores.

  • CSRF (Ações críticas): CSRF que leva a comprometimento da conta ou ações de ativos não autorizadas.

  • Acesso à conta em escala: acesso não autorizado a várias contas de utilizador devido a falhas na lógica de autenticação ou autorização.

  • Injeção SQL (limitada): extrair dados confidenciais específicos

  • Fuga de código-fonte: exposição de backend significativo ou código-fonte interno

  • SSRF (impacto contextual): SSRF que atinge serviços internos (a gravidade do SSRF depende do impacto do acesso interno alcançado).

Telemóvel

  • CSRF (Ações críticas): CSRF que leva a comprometimento da conta ou ações de ativos não autorizadas.

  • SSRF (impacto contextual): SSRF a aceder a sistemas ou serviços internos através de pontos finais móveis.

  • Exposição de dados sensíveis: fuga de informações encriptadas ou sensíveis armazenadas ou processadas pela aplicação.

  • Interrupções de transação: falhas da aplicação que interferem com os fluxos de transação, depósito ou levantamento.

  • Falhas lógicas (Impacto no fundo): utilizar a lógica da aplicação para manipular saldos ou efetuar transações não autorizadas.

  • Fuga de código-fonte: exposição de código-fonte de aplicação significativo.

  • Operações não autorizadas: realizar transações ou operações financeiras não autorizadas através de vulnerabilidades da aplicação.

Clientes de ambiente de trabalho

  • CSRF (Converter de conta ou transferências de fundos): pedidos falsificados de clientes que resultam em ações autenticadas críticas.

  • SSRF (Impacto contextual): pedidos falsificados da aplicação para serviços internos.

  • Exposição de dados sensíveis: exposição de seed encriptada ou dados sensíveis locais através da funcionalidade da aplicação.

  • Interrupções de transação: bugs do lado do cliente que impedem o trading válido, depósitos ou levantamentos.

  • Falhas lógicas (Impacto no fundo): utilizar a lógica do lado do cliente para manipular os saldos das contas ou os comportamentos de transferência.

Web3

Critérios: afeta >30% dos utilizadores, >10 minutos de inatividade ou >50 000 USD em perdas potenciais.

  • Problemas de validador, falhas na lógica de fundos ou fugas de código.

Medium

Web2

  • XSS armazenado (Interação): scripting persistente entre sites que requer ação de interação do utilizador para ser desencadeada.

  • CSRF (Core Business): CSRF que visa ações comerciais não críticas.

  • Contorno de autenticação (limitado): acesso não autorizado ao backend ou aos dados do utilizador sem impacto financeiro.

  • Controlo de subdomínios: controlo de subdomínios não utilizados com risco de reputação ou phishing.

  • Falhas no código de verificação: Debilidades na lógica de verificação de início de sessão ou redefinição de palavra-passe.

  • Exposição de dados sensíveis: divulgação de dados de utilizadores encriptados ou internos através de interfaces acessíveis.

  • Credenciais de texto limpo: credenciais codificados com código-fonte ou ficheiros de configuração, excluindo chaves de API.

Telemóvel

  • XSS armazenado (interação): scripting persistente entre sites nos componentes das aplicações móveis que requerem interação do utilizador.

  • CSRF (Core Business): falsificação de solicitações entre sites com o objetivo de uma lógica de negócio não crítica.

  • Contorno de autenticação (limitado): acesso não autorizado a dados ou configurações de utilizadores sem impacto financeiro.

  • Fugas de armazenamento local: divulgação de dados confidenciais armazenados pela aplicação, como tokens de sessão ou credenciais encriptadas.

  • Falhas de verificação: Debilidades no OTP, início de sessão ou mecanismos de reposição devido a validação insuficiente ou limite de taxa.

  • Credenciais de texto limpo: segredos codificados em ficheiros de aplicação, excluindo chaves de API.

Clientes de ambiente de trabalho

  • CSRF (Core Business): Forjar ações de clientes não sensíveis, tais como alterações de definições.

  • Contorno de autenticação (limitado): obter acesso não autorizado a configurações ao nível do utilizador ou visualizações de clientes restritas.

  • Fugas de armazenamento local: exposição de dados exploráveis armazenados pelo cliente, como tokens de sessão ou segredos de autenticação, sem proteção ou controlo de acesso adequados.

  • Credenciais de texto limpo: segredos codificados (excluindo chaves de API) incorporados nas configurações ou binários de clientes.

Web3

Critérios: requer interação ou âmbito limitado.

  • Explorações de carteiras baseadas em interações ou interrupções de transações.

Baixo

Web2

  • XSS refletido: scripting entre sites não persistente em URLs ou parâmetros.

  • DOM/Flash XSS: scripting cross-site do lado do cliente sem interação back-end.

  • Redirecionamentos abertos: redirecionar os utilizadores para domínios externos sem validação.

  • Fugas de informações gerais: exposição de caminhos internos, diretórios ou interfaces de depuração.

  • CSRF comum: CSRF que visa ações de utilizador não sensíveis.

  • Manipulação de cabeçalho HTTP: modificar cabeçalhos com baixo impacto, como comportamento de cache ou redirecionamentos.

Telemóvel

  • Exposição de componentes: exposição não intencional de componentes da aplicação, tais como atividades exportadas para Android ou serviços para iOS.

  • Abrir redirecionamentos: redirecionamentos não validados nos fluxos da aplicação.

  • Problemas de cabeçalho HTTP: Manipulação de cabeçalho inferior com impacto negligenciável.

Clientes de ambiente de trabalho

  • DoS local: destruir a aplicação de ambiente de trabalho através de ficheiros ou entradas malformadas.

  • Desconfigurações menores: exposição de ficheiros temporários ou locais sem dados sensíveis ou exploração direta.

Web3

Critérios: impacto mínimo ou exploração.

  • Problemas de estabilidade de nós ou fugas menores.

Diretrizes adicionais

  • IDOR: tem de demonstrar o caminho de descoberta do documento de identificação, e não apenas a força bruta.

  • Telemóvel: denuncie uma vez por vulnerabilidade em todas as plataformas (iOS/Android).

  • Duplicados: mesmo problema em vários ativos = um relatório.

  • Falsivos positivos, baixo impacto empresarial ou erros não exploráveis não serão recompensados, mas poderão ser reconhecidos.

Fora do âmbito

  • Relatórios de ferramentas ou análises automáticas

  • Injeção de SQL positiva falsa sem um PoC que demonstra a extração do nome de utilizador/DB

  • Vulnerabilidade de spam, spoofing de correio, bombardeio de correio, etc.

  • Self-XSS

  • Utilização de bibliotecas ou componentes vulneráveis conhecidos sem um PoC funcional

  • Clickjacking em páginas sem ações sensíveis

  • Pedidos de falsificação cross-site (CSRF) em formulários não autenticados ou de baixo impacto

  • Ataques que requerem MITM ou acesso físico ao dispositivo de um utilizador

  • Bibliotecas vulneráveis conhecidas anteriormente sem uma Prova de Conceito correta

  • Injeção de CSV sem demonstrar exploração

  • Melhores práticas SSL/TLS em falta (por exemplo, encriptações fracas, versões do protocolo)

  • Denial of Service (DoS) ou tentativas de interrupção do serviço

  • Injeção de conteúdo ou spoofing de texto sem modificação de HTML/CSS ou vector de ataque

  • Limitação da velocidade ou problemas de força bruta em pontos finais sem autenticação

  • Melhores práticas para a Política de Segurança de Conteúdo em falta

  • Sinalizadores de cookies HttpOnly ou Secure em falta

  • Registos SPF/DKIM/DMARC em falta ou inválidos

  • Vulnerabilidades que afetam apenas navegadores desatualizados/sem correio (mais antigos de 2 versões estáveis)

  • Divulgação da versão do software, informações do banner, vestígios stack ou erros verbozes

  • 0 dias públicos com correções disponibilizadas há menos de 1 mês (caso a caso)

  • Tabnabbing

  • Vulnerabilidades que requerem interação do utilizador extensiva

  • Vulnerabilidades já conhecidas pelas equipas internas

  • Recomendações de boas práticas (por exemplo, sugestões de reforço)

  • Vulnerabilidade relacionada com o Wordpress

  • Desenvio de DLL sem demonstrar escalada de privilégios

  • contornar o limite de taxa ao alterar o endereço IP ou o ID do dispositivo

  • Barras de endereço, URL ou spoofing de domínio em navegadores móveis na aplicação (por exemplo, dApp ou navegadores baseados em WebView)

  • Exposição de dados sensíveis nas redes sociais

  • Tomadas de domínio internas fora de okx.com, okg.com ou oklink.com

  • Clientes (descódigo/móvel) não transferidos de fontes oficiais no âmbito

  • A Proof of Reserves está a ser reportada como fugas de "documento sensível"

  • Relatórios baseados apenas na análise estática de binários sem a PoC afetar a lógica do negócio

  • Falta de deteção de ofuscação/proteção do binário/root (jailbreak)

  • Desvio de afixação de certificados em dispositivos com root/jailbroken

  • Mitigações de vulnerabilidades em falta (por exemplo, PIE, ARC, Stack Canaries)

  • Dados confidenciais em corpos de URLs/pedidos com proteção TLS

  • Divulgação do caminho no binário

  • Segredos da aplicação codificados/recuperáveis no IPA/APK sem impacto comercial

  • Dados confidenciais armazenados no diretório da aplicação privada

  • Falhas na aplicação devido a esquemas de URL malformados ou componentes exportados

  • Exploitações de runtime que só são possíveis num ambiente com root/jailbreak (por exemplo, através do Frida)

  • Ligações partilhadas divulgadas através da área de transferência

  • Fugas de URI provocadas por aplicações maliciosas com permissões

  • Exposição de chaves de API sem impacto de segurança demonstrado (por exemplo, chaves de API do Google Maps ou chaves encontradas nos nossos repositórios públicos do GitHub)

  • Serviços de terceiros (salvo se explicitamente autorizados)

  • Serviços não detidos pela OKX (por exemplo, vulnerabilidades do fornecedor de cloud)

Regras gerais

  • Seja o primeiro a denunciar a vulnerabilidade.

  • Forneça uma PoC clara com passos de reprodução.

  • Evite fazer testes que afetem contas de utilizadores reais.

  • Não realize negações de serviço, spam ou engenharia social.

  • Não tente aceder ou modificar dados de utilizador sem permissão.

Contestar resolução

Caso tenha algo a dizer sobre o processo de elaboração de relatórios ou os níveis e classificação de risco, contacte o nosso apoio ao cliente.