Bug Bounty
Обзор программы
Фундаментальной проблемой большинства современных протоколов стейблкоинов является положительный внешний эффект. Затраты на производство и обслуживание стейблкоинов берут на себя протокол и его пользователи (майнеры, акционеры, держатели облигаций). В то время как большая часть стоимости поступает от транзакции стейблкоинов в примитивах DeFi и фиксируется этими примитивами DeFi.
Экосистема Mars решает эту проблему, интегрируя создание и использование стейблкоинов в одну стабильную, но децентрализованную экосистему. Связь между Mars Stablecoin и платформой Mars DeFi создает положительную обратную связь и создает эффект маховика.
Mars Stablecoin (USDM) - это стабильная цена, экономичная, масштабируемая и децентрализованная. Это стейблкоин с избыточным обеспечением: возможность выкупа USDM обеспечивается токеном управления экосистемой Mars (XMS). Рыночная капитализация XMS всегда в несколько раз превышает рыночную капитализацию Mars Stablecoin, что гарантирует, что стейблкоин может быть выкуплен 1: 1 в любой момент времени.
Mars Swap обеспечивает ликвидность между Mars Stablecoin и всеми другими токенами, что делает USDM идеальным средством обмена и сохранения стоимости для DeFi. Плата за транзакции, генерируемая Mars Swap, используется для обеспечения стабильности Mars Stablecoin.
Эта программа вознаграждения за ошибки ориентирована на их смарт-контракты и приложение и направлена на предотвращение следующих воздействий 💡 :
Кражи и замораживание основной суммы долга на любую сумму
Кражи и замораживание невостребованного дохода в любой сумме
Кража средств управления
Нарушение управленческой деятельности
Сайт выходит из строя
Утечка пользовательских данных
Удаление пользовательских данных
Доступ к конфиденциальным страницам без авторизации
Смарт-контракты не обеспечивают обещанный возврат на основе годовой процентной ставки
Все сообщения об ошибках должны проходить через процесс отправки сообщений об ошибках Immunefi на Cтраница вознаграждения за баги Marsecosystem
Страницу вознаграждения за обнаружение ошибок Marecosystem можно просмотреть по адресу:
https://immunefi.com/bounty/marsecosystem
Когда хакер нажимает кнопку «Отправить отчет об ошибке», он будет отправлен на bugs.immunefi.com, который проведет его через процесс создания отчета об ошибке.
Награды по уровню угрозы
Награды распределяются в зависимости от воздействия уязвимости на основе Системы классификации серьезности уязвимостей Immunefi. Это упрощенная пятиуровневая шкала с отдельными шкалами для веб-сайтов / приложений и смарт-контрактов / блокчейнов, охватывающая все, от последствий эксплуатации до требуемых привилегий и вероятности успешного использования.
Все отчеты об ошибках в веб-приложениях и веб-приложениях должны сопровождаться PoC, чтобы их можно было рассматривать для получения вознаграждения.
Ошибки, обнаруженные в ходе следующих аудитов, не подлежат вознаграждению:
Выплаты производятся непосредственно командой Mars Ecosystem и номинированы в долларах США. Однако выплаты производятся в XMS или BUSD по усмотрению команды.
Смарт-контракты и блокчейн
Критический До $60,000
Высокий $15,000
Средний $5,000
Низкий $1,000
Сайт и приложения
Критический $10,000
Высокий $5,000
Средний $1,000
Активы в объемы
Все смарт-контракты Mars Ecosystem можно найти на https://github.com/MarsEcosystem. Однако только те, которые указаны в таблице Assets in Scope, считаются подпадающими под действие программы вознаграждений за ошибки.
Воздействие в масштабе
В рамках этой программы поощрения ошибок допускаются только следующие воздействия. Все другие воздействия не рассматриваются как попадающие в область действия, даже если они влияют на что-то в активах в таблице области действия.
Смарт-контракты
Потеря денежных средств пользователя (основной суммы) в результате замораживания или кражи
Потеря средств управления
Кража невостребованного дохода
Замораживание невостребованного урожая
Временное замораживание средств на любой срок
Невозможно вызвать смарт-контракт
Умный контракт на дренаж газа
Смарт-контракт не обеспечивает обещанный возврат
Манипуляция голосами
Неправильные действия при опросе
Сайт / приложение
Неправильное или непреднамеренное поведение в отношении денег. (т.е. пользовательский ввод в приложение рассчитан на 10 долларов США, а мы фактически отправляем 100 долларов США на смарт-контракт)
Мы указываем на неправильный смарт-контракт
Подделка межсайтовых запросов (CSRF)
Межсайтовый скриптинг (XSS)
Приоритетные уязвимости
Мы особенно заинтересованы в получении и вознаграждении уязвимостей следующих типов:
Смарт-контракты и блокчейн
Повторный вход
Логические ошибки
Включая ошибки аутентификации пользователей
Детали Solidity / EVM не рассматриваются
Включая целочисленный переполнение / недостаточный поток
Включая ошибки округления
Включая необработанные исключения
Доверие к уязвимостям доверия / зависимости
Включая уязвимости компоновки
Ошибка / манипуляции Oracle
Новые атаки на управление
Экономические / финансовые атаки
В том числе атаки на быстрые кредиты
Перегрузка и масштабируемость
В том числе кончился бензин
В том числе блочная начинка
В том числе склонность к опережению
Неудачи консенсуса
Проблемы криптографии
Фирменная пластичность
Восприимчивость к повторным атакам
Слабая случайность
Слабое шифрование
Восприимчивость к блокировке манипуляций с отметками времени
Отсутствуют элементы управления доступом / незащищенные внутренние или отладочные интерфейсы
Сайты и приложения
Удаленное выполнение кода
Доверие к уязвимостям доверия / зависимости
Вертикальное повышение привилегий
Внедрение внешних объектов XML
SQL-инъекция
LFI / RFI
Горизонтальное повышение привилегий
Сохраненный XSS
Светоотражающий XSS с ударом
CSRF с эффектом
Прямая ссылка на объект
Внутренний SSRF
Фиксация сеанса
Небезопасная десериализация
DOM XSS
Неправильная конфигурация SSL
Проблемы с SSL / TLS (слабое шифрование, неправильная настройка)
Перенаправление URL
Clickjacking (должен сопровождаться PoC)
Вводящий в заблуждение текст Unicode (например, использование замещающих символов справа налево)
Вне рамок и правил
Следующие уязвимости исключены из вознаграждения по этой программе вознаграждений за ошибки:
Атаки, которые репортер уже использовал сами, что привело к ущербу
Атаки, требующие доступа к утечке ключей / учетных данных
Атаки, требующие доступа к привилегированным адресам (руководство, стратег)
Смарт-контракты и блокчейн
Неправильные данные, предоставленные сторонними оракулами
Не исключать манипуляции с оракулами / атаки с использованием флэш-кредитов
Основные атаки на экономическое управление (например, атака 51%)
Отсутствие ликвидности
Критика передового опыта
Sybil атака
Сайты и приложения
Теоретические уязвимости без каких-либо доказательств или демонстраций
Спуфинг контента / проблемы с внедрением текста
Self-XSS
Обход Captcha с использованием OCR
CSRF без воздействия на безопасность (CSRF выход из системы, изменение языка и т. Д.)
Отсутствуют заголовки безопасности HTTP (например, X-FRAME-OPTIONS) или флаги безопасности файлов cookie (например, «httponly»).
Раскрытие информации на стороне сервера, такой как IP-адреса, имена серверов и большинство трассировок стека
Уязвимости, используемые для перечисления или подтверждения существования пользователей или арендаторов
Уязвимости, требующие маловероятных действий пользователя
Перенаправления URL-адресов (если они не сочетаются с другой уязвимостью, чтобы создать более серьезную уязвимость)
Отсутствие лучших практик SSL / TLS
DDoS-уязвимости
Атаки, требующие привилегированного доступа изнутри организации
Запросы функций
Лучшие практики
Следующие действия запрещены этой программой поощрения ошибок:
Любое тестирование с контрактами mainnet или public testnet; все тестирование должно проводиться в частных тестовых сетях
Любое тестирование с помощью оракулов ценообразования или сторонних смарт-контрактов.
Попытки фишинга или других атак социальной инженерии на наших сотрудников и / или клиентов
Любое тестирование сторонних систем и приложений (например, расширений браузера), а также веб-сайтов (например, поставщиков SSO, рекламных сетей)
Любые атаки типа "отказ в обслуживании"
Автоматизированное тестирование сервисов, генерирующих значительный объем трафика
Публичное раскрытие незащищенной уязвимости в запрещенном вознаграждении
Last updated