Kraken

Phần thưởng phát hiện lỗi

Nhận Bitcoin 
cho việc phát hiện lỗi

Về chúng tôi

Được thành lập vào năm 2011, Sàn giao dịch tài sản kỹ thuật số Kraken là một trong những sàn giao dịch bitcoin lớn nhất và lâu đời nhất trên thế giới với nhiều lựa chọn tài sản kỹ thuật số và tiền tệ quốc gia nhất. Có trụ sở tại San Francisco với các văn phòng trên khắp thế giới, nền tảng giao dịch của Kraken liên tục được các phương tiện truyền thông tin tức độc lập đánh giá là sàn giao dịch tài sản kỹ thuật số tốt nhất và an toàn nhất. Được tin cậy bởi hàng trăm nghìn nhà giao dịch, tổ chức và chính quyền, bao gồm cả Ngân hàng Fidor do BaFin quản lý của Đức, Kraken là sàn giao dịch đầu tiên hiển thị dữ liệu thị trường của mình trên Bloomberg Terminal, vượt qua kiểm tra bằng chứng dự trữ có thể xác minh bằng mật mã và là sàn đầu tiên cung cấp giao dịch giao ngay với ký quỹ. Các nhà đầu tư của Kraken bao gồm Blockchain Capital, Digital Currency Group, Hummingbird Ventures và Money Partners Group.

Chính sách

Kraken vô cùng tin tưởng vào giá trị của các chuyên gia bảo mật và lập trình viên hỗ trợ trong việc giữ an toàn cho sản phẩm và người dùng của chúng tôi. Kraken đã tạo ra chương trình Phần Thưởng Phát Hiện Lỗi (Bug Bounty Program) và khuyến khích sử dụng nó như một trách nhiệm cho việc báo cáo tất cả điểm yếu về bảo mật. Chương trình Phần Thưởng Phát Hiện Lỗi giúp Kraken thực hiện sứ mệnh của mình bằng cách giúp chúng tôi trở thành một công ty đáng tin cậy nhất trong thị trường tiền kỹ thuật số.

Kraken đồng ý không khởi xướng hành động pháp lý đối với nghiên cứu bảo mật được thực hiện theo tất cả các chính sách Kraken Bug Bounty đã đăng, bao gồm cả thiện chí, vi phạm không chủ ý. Chúng tôi tin rằng các hành động được thực hiện nhất quán với chính sách này được "uỷ thác" bởi Đạo luật Lừa đảo và Lạm dụng trên Máy tính (Computer Fraud and Abuse Act), DMCA và tất cả luật pháp chống gian lận có thể áp dụng ví dụ như Cal. Penal Code 503(c). Chúng tôi sẽ không đưa ra yêu cầu chống lại những người nghiên cứu việc phá vỡ các biện pháp công nghệ mà chúng tôi dùng để bảo vệ ứng dụng trong phạm vi Chương trình Phần Thưởng Pháp Hiện Lỗi

Những người nghiên cứu bắt buộc phải đưa ra thông báo trước khi đưa ra hành động có thể không thống nhất hoặc chưa được làm rõ trong chính sách.

Phần thưởng

Tất cả các lần gửi tiền thưởng đều được Kraken xếp hạng và thanh toán dựa trên xếp hạng lỗ hổng bảo mật. Tất cả các khoản thanh toán sẽ được tiến hành bằng BTC và được xác định là nguyên tắc và có thể thay đổi.

  • Tất cả các báo cáo lỗi phải được gửi tới [email protected]
  • Yêu cầu thanh toán để đổi lấy thông tin chi tiết về lỗ hổng bảo mật sẽ dẫn đến việc thanh toán tiền thưởng ngay lập tức không đủ điều kiện. 
  • Nếu chúng tôi không thể tái tạo các phát hiện của bạn, báo cáo của bạn sẽ không đủ điều kiện để thanh toán. Chúng tôi yêu cầu bạn cung cấp báo cáo chi tiết nhất có thể với tất cả các bước cần thiết để tái tạo các phát hiện của bạn. 
  • Bao gồm Địa chỉ Bitcoin (BTC) của bạn để Thanh toán. Tất cả phần thưởng sẽ được phát hành bằng Bitcoin.
  • Khoản thanh toán tối thiểu là Bitcoin (BTC)   tương đương với $500 USD.
Payout ScaleSeverityRange
 Low Severity$500-$1000
 Medium Severity$2500-$5000
 High Severity$20,000-$50,000
 Critical Severity$100,000-$1.5M

Program Statistics

  • 36 reports rewarded in the last year
  • 532 reports submitted in the last year
  • $2472 average payout in the last year

Wall of Fame

See below some of the researchers who have been previously rewarded through Kraken's Bug Bounty program.

Wall of FameResearcherAmount Rewarded
InducteesDevendra Hyalij - Twitter$60,100
 UGWST - Twitter$35,000
 Redacted*$20.000
 Redacted*$18,000
 Redacted*$18,000
 Md Al Nafis Aqil Haque$11,000
 Redacted*$10,000
 Redacted*$10,000
 Redacted*$10,000
 
*Researchers name withheld at their request
 
This information is updated quarterly.

Vulnerability Ratings

Critical

Critical severity issues present a direct and immediate risk to a broad array of our users or to Kraken itself. They often affect relatively low-level /foundational components in one of our application stacks or infrastructure. For example:

  • arbitrary code/command execution on a server in our production network.
  • arbitrary queries on a production database.
  • bypassing our sign-in process, either password or 2FA.
  • access to sensitive production user data or access to internal production systems.

 

High

High severity issues allow an attacker to read or modify highly sensitive data that they are not authorized to access. They are generally more narrow in scope than critical issues, though they may still grant an attacker extensive access. For example:

  • XSS which bypasses CSP
  • Discovering sensitive user data in a publicly exposed resource
  • Gaining access to a non-critical, system to which an end user account should not have access

 

Medium

Medium severity issues allow an attacker to read or modify limited amounts of data that they are not authorized to access. They generally grant access to less sensitive information than high severity issues. For example:

  • Disclosing non-sensitive information from a production system to which the user should not have access
  • XSS that does not bypass CSP or does not execute sensitive actions in another user’s session
  • CSRF for low risk actions

 

Low

Low severity issues allow an attacker to access extremely limited amounts of data. They may violate an expectation for how something is intended to work, but it allows nearly no escalation of privilege or ability to trigger unintended behavior by an attacker. For example:

  • Triggering verbose or debug error pages without proof of exploitability or obtaining sensitive information.

 

Ineligibility

Reports in which we are not interested include:

  • Vulnerabilities on sites hosted by third parties (support.kraken.com, etc) unless they lead to a vulnerability on the main website. Vulnerabilities and bugs on the Kraken blog (blog.kraken.com)
  • Vulnerabilities contingent on physical attack, social engineering, spamming, DDOS attack, etc.
  • Vulnerabilities affecting outdated or unpatched browsers.
  • Vulnerabilities in third party applications that make use of Kraken's API.
  • Vulnerabilities publicly disclosed in third party libraries or technology used in Kraken products, services, or infrastructure earlier than 30 days after the public disclosure of the issue
  • Vulnerabilities that have been released publicly prior to Kraken issuing a comprehensive fix.
  • Vulnerabilities already known to us, or already reported by someone else (reward goes to first reporter). Issues that aren't reproducible.
  • Vulnerabilities that require an improbable level of user interaction.
  • Vulnerabilities that require root/jailbreak on mobile.
  • Missing security headers without proof of exploitability.
  • TLS Cipher Suites offered.
  • Suggestions on best practices.
  • Software version disclosure.
  • Any report without an accompanying proof of concept exploit.
  • Issues that we can't reasonably be expected to do anything about, such as issues in technical specifications that Kraken must implement to conform to those standards.
  • The output from automated tools/scanners.
  • Issues without any security impact.

 

Non-security Issues

You can let us know about non-security issues at https://support.kraken.com.