Bug Bounty
Community engagement incentives
Visão geral do programa
O problema fundamental dentro da maioria dos atuais protocolos de stablecoin é a positividade externa. O custo de produzir e manter stablecoins estão incorridos pelo protocolo e seus usuários (cunhadores, acionistas, detentores de títulos). Enquanto que a maioria do valor vem da transação de stablecoins dentro de DeFi primitivas e é capturado por essas DeFi primitivas.
O Mars Ecosystem resolve esse problema ao integrar a criação e o uso de stablecoin dentro de um ainda descentralizado ecossistema. A relação entre a Mars Stablecoin a plataforma Mars DeFi cria um loop positivo de retorno e gera um efeito volante.
A Mars Stablecoin (USDM) é estável em preço, eficiente em capital, escalável e descentralizada. É uma stablecoin sobreposta: o resgate de USDM é respaldado pelo Token de Governança do Mars Ecosystem XMS. O market cap de XMS é sempre múltiplas vezes o market cap da Mars Stablecoin o que garante que a stablecoin possa ser resgatada sempre 1:1 a qualquer hora.
Mars Swap fornece liquidez entre a Mars Stablecoin e todos os outros tokens, fazendo do USDM o meio ideal de troca e reserva de valor para a DeFi. As taxas incorridas geradas na Mars Swap são usadas para garantir a estabilidade da Mars Stalecoin.
O programa de bug bounty está focado em seus contratos inteligentes e aplicativos e também focado em prevenir os seguintes impactos 💡:
Roubos e congelamentos de capital em qualquer quantia
Roubos e congelamentos de rendimentos não reclamados de qualquer quantia
Roubo de fundos de governança
Disrupção da atividade de Governança
Queda do Website
Vazamento de dados de usuários
Eliminação de dados de usuários
Acesso a páginas confidencias sem autorização
Falha do contrato inteligente de entregar os retornos baseados na APR
Todos os envios de bug devem passar pelo envio de bugs Immunefi na página de processo de bug bounty do Mars Ecosystem
A página de bug bounty do Mars Ecosystem pode ser vista em:
https://immunefi.com/bounty/marsecosystem
Quando um hacker clica no botão "Submit bug report", eles serão enviados para bugs.immunefi.com que os guiará através do processo de criar um relatório de bug.
Recompensas por nível de ameaça
Recompensas são distribuidas de acordo com o impacto da vulnerabilidade Baseado no Sistema de Classificação de Severidade da Immunefi. Está é uma escala simplificada de 5 níveis, com escalas separadas para websites/apps e contratos inteligentes/blockchain, abrangendo tudo de consequência de exploração ao privilégio necessário à probabilidade de uma exploração bem-sucedida.
Todos relatórios de bug devem vir com um PoC para ser considerado para uma recompensa.
Bugs reportados nas seguintes auditorias não são elegíveis para uma recompensa:
Pagamentos são efetuados pela equipe Mars Ecosystem e são denominados em USD. Entretanto, pagamentos são feitos em XMS ou BUSD,
Payouts are handled by the Mars Ecosystem team directly and are denominated in USD. However, payouts are done in XMS or BUSD, a critério da equipe.
Contratos inteligentes e Blockchain
Crítico até $60,000
Alto $15,000
Médio $5,000
Baixo $1,000
Websites e Apps
Crítico $10,000
Alto $5,000
Médio $1,000
Ativos no escopo
Todos os contratos inteligentes do Mars Ecosystem podem ser achados em https://github.com/MarsEcosystem. Entretanto, apenas aqueles na tabela Ativos em Escopo são considerados como no escopo para o programa de bug bounty.
Impactos no Escopo
Apenas os seguintes impactos serão aceitos dentro do programa de bug bounty. Todos os outros impactos não são considerados como em-escopo, mesmo se eles afetarem algo nos ativos da tabela no escopo.
Contratos inteligentes
Perca de fundos em stake de usuários (principal) por congelamento ou roubo
Perca de fundos de governança
Roubo de rendimentos não clamados
Congelamento de rendimentos não clamados
Congelamento temporário de fundos por qualquer quantia de tempo
Incapacidade de chamar um contrato inteligente
Dreno de gas do Contrato Inteligente
O contrato inteligente falha em entregar os retornos prometidos
Manipulação de votos
Ações incorretas de votos
Web/App
Comportamento incorreto ou não intencionado em relação o dinheiro. (ie o input do usuário é para 10 USDC no app, e nós na verdade enviamos 100 USDC para o contrato inteligente)
Estamos apontando para um contrato inteligente incorreto
Falsificação de solicitação entre sites (CSRF)
Cross-site scripting (XSS)
Vulnerabilidades Priorizadas
Nós estamos interessados especialmente em receber e recompensas vulnerabilidades dos seguintes tipos:
Contratos Inteligentes e Blockchain
Reentrada
Erros lógicos
incluindo erros de autenticação de usuários
Detalhes de Solidez/EVM não considerados
incluindo excesso / sub-fluxo de inteiro
incluindo erros de rounding
incluindo exceções não manejadas
Vulnerabilidade de confiança/dependência
incluindo vulnerabilidades de compossibilidade
Falha/manipulação Oracle
Novos ataques de governança
Ataque Econômicos/Financeiros
incluindo ataques de flash loan
Congestionamento e escalabilidade
incluindo esgotamento de gas
including enchimento de bloco
incluindo suscetibilidade à corrida
Falhas de Consenso
Problemas de Criptografia
Maleabilidade de assinatura
Suscetibilidade de repetição de ataques
Aleatoriedade fraca
Encriptação fraca
Suscetibilidade a manipulação de carimbo de blocos
Controles de acesso ausentes / interfaces internas desprotegidas ou de depuração
Websites and Apps
Execução Remota de Código
Vulnerabilidade de confiança/dependência
Escalação de Privilégio Vertical
Injeção de Entidades Externas de XML
Injeção de SQL
LFI/RFI
Escalação de Privilégio Horizontal
XSS Armazenado
XSS Refletivo com impacto
CSRF com impacto
Referência direta de objeto
SSRF interno
Fixação de sessão
Desserialização insegura
DOM XSS
Configurações erradas de SSL
Problemas de SSL/TLS (cripto fraca , configuração imprópria)
Redirecionamento de URL
Clickjacking (deve estar acompanhado com o PoC)
Texto Unicode enganoso (por exemplo, usando caracteres de substituição da direita para a esquerda)
Fora do Escopo e Regras
As seguintes vulnerabilidades estão excluidas das recompensas para esse programa de bug bounty:
Ataques que o próprio reportando já explorou, levando a danos
Ataques solicitando acessos a chaves vazadas/credenciais
Ataques solicitando acesso a endereços privilegiados (governança, estratégia)
Contratos Inteligentes e Blockchain
Dados incorretos fornecidos por oracles de terceiros
Não excluir manipulação de oracle/ataques flash loan
Ataques básicos de economia de governança (e.g. 51% attack)
Falta de liquidez
Críticas de melhores práticas
Ataques sybil
Websites and Apps
Vulnerabilidades teóricas sem qualquer prova ou demonstração
Falsificação de conteúdo/ Problemas de injeção de texto
Auto-XSS
Captcha bypass usando OCR
CSRF sem impacto de segurança (logout CSRF, mudança de linguagem, etc.)
Falta dos cabeçalhos de segurança HTTP (como opções X-FRAME) ou bandeira de segurança de cookie (como “httponly”)
Divulgações de informações do lado do servidor como IPs, nomes de servidores, Server-side information disclosure such as IPs, server names, e mais traços de pilhas
Vulnerabilidades usadas para enumerar ou confirmar a existência de usuários ou inquilinos
Vulnerabilidades solicitando ações incomuns de usuários
URL Redirects (unless combined with another vulnerability to produce a more severe vulnerability)
Falta de melhores práticas de SSL/TLS
Vulnerabilidades de DDoS
Ataques solicitando acesso privilegiado de dentro da organização
Requisições de funcionalidades
Melhores práticas
As seguintes atividades são proibidas por este programa de bug bounty:
Qualquer teste com contratos de mainnet ou testnet pública; todos os testes devem ser feitos em uma testnet privada
Qualquer teste com oracles de preço ou contratos inteligentes de terceiros
Tentativa de phishing ou outros ataques de engenharia social contra nossos empregados e/ou clientes
Qualquer teste com sistemas e aplicativos de terceiros (e.g., extensões de navegador) assim como websites (e.g., fornecedores de SSO, redes de anúncios)
Qualquer negação de serviços de ataque
Serviços automatizados de testes que geram significantes quantias de tráfico
Divulgação pública de uma vulnerabilidade não corrigida em um embarg
Last updated