一、計畫說明
HOYA BIT 一向將平台安全與用戶資產保護視為最重要的營運原則。
為進一步提升平台整體資訊安全,我們歡迎全球資安研究人員及白帽駭客協助發現並回報 HOYA BIT 平台可能存在的安全漏洞。
若您發現任何可能影響 HOYA BIT 平台安全、用戶資料或資產安全的漏洞,歡迎透過本計畫向我們回報。
經確認之有效漏洞,HOYA BIT 將依漏洞嚴重程度提供相應的獎勵。
二、適用範圍
本漏洞懸賞計畫適用於 HOYA BIT 平台相關系統,包括但不限於:
適用範圍(In Scope)
- HOYA BIT 官方網站
- HOYA BIT 行動應用程式(Mobile App)
- 交易系統(Trading System)
- 錢包系統(入幣 / 提幣系統)
- 帳戶登入與身份驗證系統
- API 服務
- 與資產管理或交易相關之後端服務
不適用範圍(Out of Scope)
以下情況一般不列入懸賞範圍:
- 無實際安全影響之 UI / UX 問題
- 垃圾郵件或釣魚網站通報
- 僅需不合理使用者操作情境才能觸發之問題
- 無實際利用方式之 Clickjacking
- Self-XSS
- 僅為安全標頭缺失但無實際利用方式
- 阻斷服務攻擊(DoS / DDoS)
- 第三方服務系統所產生之漏洞
HOYA BIT 保留最終判定漏洞是否符合懸賞資格之權利。
三、漏洞等級與獎勵
漏洞獎勵將依據漏洞之 影響範圍、可利用程度及潛在風險 綜合評估。
| 漏洞等級 | 可能影響 | 獎勵金額 |
| Critical(重大漏洞) | 可能導致資產被盜、提幣機制繞過、錢包系統漏洞 | 4,000 – 6,000 USDT |
| High(高風險漏洞) | 帳戶接管、身份驗證繞過 | 1,000 – 1,500 USDT |
| Medium(中風險漏洞) | 敏感資料洩露、權限提升 | 200 – 400 USDT |
| Low(低風險漏洞) | 一般安全設定問題 | 50 – 100 USDT |
特殊重大漏洞
若漏洞可能導致 大規模資產損失或平台核心系統遭到重大影響,
HOYA BIT 得依情況提供 最高 10,000 USDT 之額外獎勵。
所有獎勵金額由 HOYA BIT 依漏洞影響程度最終決定。
四、負責任揭露原則
參與本計畫之研究人員須遵循負責任揭露原則:
- 僅透過 HOYA BIT 官方管道回報漏洞
- 不得利用漏洞進行任何牟利行為
- 不得存取或修改其他用戶資料
- 不得干擾或破壞平台服務正常運作
- 在漏洞修復前不得公開漏洞資訊
如未遵守上述原則,HOYA BIT 有權取消懸賞資格。
五、漏洞回報方式
若您發現潛在安全漏洞,請透過以下方式向我們回報:
security@hoyabit.com
回報內容請盡可能包含以下資訊:
- 漏洞詳細說明
- 重現漏洞之步驟(Steps to Reproduce)
- 受影響之系統或頁面
- 截圖或 PoC(Proof of Concept)
- 聯絡方式
HOYA BIT 資安團隊將審核回報內容,並於必要時與您聯繫進一步確認。
六、獎勵發放
經 HOYA BIT 確認為有效漏洞且符合懸賞條件者,
將依漏洞等級提供相應獎勵。
懸賞獎勵通常以 USDT 形式發放。
獎勵金額與發放方式由 HOYA BIT 最終決定。
七、資安貢獻者名單
對 HOYA BIT 平台安全有重大貢獻之資安研究人員,
HOYA BIT 可能於官方網站公開列入 Security Hall of Fame 表彰。
八、法律保護
HOYA BIT 不會對遵循本計畫規範且善意回報漏洞之資安研究人員採取法律行動,
前提是研究人員:
- 以善意方式進行測試
- 遵守負責任揭露原則
- 未侵犯用戶隱私或造成服務中斷
感謝您協助 HOYA BIT 提升平台安全,讓我們共同打造更安全的數位資產交易環境。
