尊敬的XT.COM用戶:
為了提供更加安全可靠的加密貨幣交易服務,XT.COM啟動了漏洞賞金計劃,我們意識到即使最完善的系統也可能存在漏洞,所以希望通過懸賞的方式鼓勵黑客檢測並報告平台的安全問題,以便我們能夠快速解決這些問題,防止任何惡意攻擊。
我們的漏洞賞金計劃對任何發現我們軟件產品漏洞的人開放。我們將提供一定金額的獎金作為對符合條件的漏洞報告的獎勵,獎金金額將取決於問題的嚴重程度和報告的質量,$50-$2,000美元不等。
漏洞等級及賞金:
漏洞等級獎金範圍嚴重$1,000-$2,000高級$400-$800中級$150-$300低級$50-$100檢測範圍:
纽约联储计划降低部分回购操作的频率:纽约联储计划降低部分回购操作的频率。纽约联储将从5月4日起将隔夜回购操作频率降低至每天一次;每两周进行一次3个月期的回购操作,此前为每周一次;将维持每周进行一次1个月期的回购操作不变。公开市场操作小组将继续适当调整回购操作,以确保储备供应充裕。(金十)[2020/4/14]
目標類型https://www.xt.comWebhttps://doc.xt.comAPIhttps://apps.apple.com/app/apple-store/id1556596708iOShttps://play.google.com/store/apps/details?id=com.app.xtAndroid?
纽约联储高级副总裁:加密货币在没有信任的反乌托邦世界中会成为主流 在现在的世界里作为货币的用处不大:纽约联储负责研究和统计小组的高级副总裁Antoine Martin在一篇博客中表示比特币及其他加密货币解决了在信任被破坏的环境中进行支付的问题,但目前并不清楚这一问题需不需要得到解决。目前至少在美国和其它发达国家,消费者信任金融机构及其货币的价值,因此加密货币很难与现金,支票,借记卡和信用卡,PayPal竞争。而如果我们生活在没有信任的反乌托邦世界中,比特币可能会成为最重要的支付方式,但在我们现在的世界里,人们倾向于信任金融机构处理支付,而央行维持货币价值。解决信任问题是以牺牲便利性和可扩展性为代价的,因为挑选随机验证者的过程使得网络可以验证交,不再需要金融机构。这个过程需要时间,昂贵而且会消耗大量的能源。加密货币另一个问题是存在极端的波动,这也使得它们作为货币的用处不大。[2018/2/10]
我們將會對發現以下範圍漏洞的黑客進行獎賞:
纽约联储主席对比特币并不看好 认为比特币并不是稳定的储值渠道:纽约联储主席杜德利认为:比特币不是稳定的储值渠道,我当前对比特币疑虑非常大[2017/11/30]
業務邏輯問題支付操縱遠程代碼執行注入漏洞文件包含訪問控制問題敏感信息洩露服務器端請求偽造跨站請求偽造跨站腳本攻擊目錄遍歷其他具有明顯潛在損失的漏洞以下漏洞不在懸賞範圍內:
在以下範圍內發現的漏洞,除非它們對業務構成嚴重威脅,否則不太可能獲得獎勵:
一、WEB端
第三方應用程序的漏洞不屬於公司的資產最佳實踐問題最近披露的0day漏洞影響過時的瀏覽器或平台用戶的漏洞社會工程、網絡釣魚、物理或其他欺詐活動公開的登錄面板,沒有利用的證據在沒有概念證明的情況下說明軟件已經過時/存在漏洞的報告由掃描器或任何自動或主動利用工具產生的報告涉及活動內容的漏洞,如網絡瀏覽器附加組件大多數沒有明確影響的暴力攻擊問題拒絕服務。理論上的問題中度敏感的信息披露垃圾郵件缺少HTTP安全標頭基礎設施漏洞,包括:證書/TLS/SSL相關問題DNS問題服務器配置問題開放式重定向會話修復用戶賬戶列舉點擊劫持/竊聽以及只能通過點擊劫持/竊聽來利用的問題描述性錯誤信息不能用於剝削其他用戶的自我XSS登錄和註銷CSRF弱的驗證碼/驗證碼繞過缺少安全和HTTPOnlycookie標誌通過登錄/忘記密碼頁面錯誤信息進行用戶名/電子郵件枚舉匿名用戶可以使用的表格中的CSRF啟用OPTIONS/TRACEHTTP方法沒有展示漏洞的概念證明的主機標頭問題內容欺騙和文本注入問題,沒有顯示攻擊媒介/無法修改HTML/CSS的問題沒有嵌入鏈接/HTML的內容欺騙反映的文件下載(RFD)混合HTTP內容HTTPS混合內容腳本使用密碼重置令牌的操縱行為MitM和本地攻擊二、移動端
Gate.io杠杆ETF速报:XTZ3L以20.60%涨幅领涨ETF:据Gate.io杠杆ETF官方数据,截至今日17:00时,XTZ3L以20.60%涨幅领涨ETF,ETH3L(+13.59%)、BSV3L(+7.57%)涨幅紧随其后。BSV3S24小时成交量达$118.39万美元。Gate.io杠杆ETF产品在永续合约市场对冲管理,平台收取每日0.3%管理费来弥补开销成本,用户只需简单买币卖币即可参与杠杆。以上观点不构成投资建议,请注意风险。[2020/4/19]
需要對用戶的設備進行物理訪問的攻擊需要root/jailbreak的漏洞需要大量用戶互動的漏洞設備上的非敏感數據的暴露沒有PoC的二進制靜態分析報告,影響業務邏輯缺少混淆/二進制保護/root檢測繞過root設備上的證書釘子缺少漏洞緩解措施,如PIE、ARC或Stackanaries受TLS保護的URL/請求體中的敏感數據二進製文件中的路徑披露在IPA、APK中硬編碼/可恢復的OAuth和應用秘密敏感信息作為明文保留在設備的內存中由於畸形的URL方案或發送到導出的活動/服務/廣播接收器的意圖而導致的崩潰任何類型的敏感數據存儲在應用程序的私人目錄中使用Frida/Appmon等工具的運行時黑客攻擊通過系統剪貼板洩露的共享鏈接任何URI的洩露,因為惡意的應用程序有權限查看打開的URI。沒有安全影響的API密鑰的暴露。漏洞賞金計劃規則
XTZ3S日内涨幅超9%:据BBKX行情显示,BBKX交易平台ETF专区多个币对持续上涨,截至今日10:50(UTC+8),
XTZ3S/USDT当前净值0.3378美元,日内涨幅9.56%,
QTUM3S/USDT当前净值0.7320美元,日内涨幅7.06%,
BCH3S/USDT当前净值1.1100美元,日内涨幅5.78%。
杠杆ETF是一种锚定标的资产价格变化的指数基金。BBKX平台目前已经上线BTC、ETH、EOS多个主流币种以及HT、BNB、OKB等平台币,管理费每倍0.1%。
BBKX成立于2019年6月,已获得节点资本和链上基金的联合战略投资。[2020/4/12]
避免使用網絡應用程序掃描器進行自動漏洞搜索,以避免產生大量流量努力不要損壞或限制產品、服務或基礎設施的可用性避免危害任何個人數據,不中斷或降低任何服務的質量不要訪問或修改其他用戶數據,將所有測試局限於自己的帳戶僅在範圍內執行測試不要利用任何DoS/DDoS漏洞、社交工程攻擊或垃圾郵件不要使用自動掃描儀垃圾郵件表單或賬戶創建流程如果發現連鎖漏洞,我們只會支付最高嚴重性的漏洞。不要違法行為,保持在定義的範圍內未經適當許可,不得向任何不是XT.COM團隊或該公司授權員工的人員通報發現的漏洞的任何細節。信息披露準則
未經組織明確同意,不要在計劃外部討論該計劃或任何漏洞。暫不允許進行漏洞披露,包括部分披露。請不要發布/討論漏洞。資格和協調披露
我們很高興感謝所有提交有效報告的人,這有助於我們提高安全性。但是,只有滿足以下資格要求的人才能獲得賞金獎勵:
您必須是漏洞的首次報告者。漏洞必須是符合資格的漏洞。發現的任何漏洞必須在發現後不遲於24小時內通過https://hackenproof.com/xt/xt進行報告,並且僅限於此渠道。您必鬚髮送一個清晰的文本描述報告,包括詳細的複現步驟,包括必要的附件,如屏幕截圖或概念驗證代碼。您不得是我們或其承包商的前任或現任員工。提供詳細但簡明的複現步驟。我們非常重視安全,並感謝您為改進我們產品的安全性所做的任何努力。
感謝您對XT.COM的支持與信任!XT.COM團隊2023年04月25日
https://www.xt.com/app?https://www.xt.com/tradePro/btc_usdt?https://www.xt.com/margin/btc_usdthttps://futures.xt.com/contract/u_based/btc_usdthttps://www.xt.com/etf/btc3l_usdt
?https://t.me/XT_TCHN?https://twitter.com/XTexchange?https://www.facebook.com/XT.comexchange/
XT.COM將保留隨時全權酌情因任何理由修改、變更或取消此公告的權利。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。