Bug Bounty

Community engagement incentives

Visão geral do programa

O problema fundamental dentro da maioria dos atuais protocolos de stablecoin é a positividade externa. O custo de produzir e manter stablecoins estão incorridos pelo protocolo e seus usuários (cunhadores, acionistas, detentores de títulos). Enquanto que a maioria do valor vem da transação de stablecoins dentro de DeFi primitivas e é capturado por essas DeFi primitivas.

O Mars Ecosystem resolve esse problema ao integrar a criação e o uso de stablecoin dentro de um ainda descentralizado ecossistema. A relação entre a Mars Stablecoin a plataforma Mars DeFi cria um loop positivo de retorno e gera um efeito volante.

A Mars Stablecoin (USDM) é estável em preço, eficiente em capital, escalável e descentralizada. É uma stablecoin sobreposta: o resgate de USDM é respaldado pelo Token de Governança do Mars Ecosystem XMS. O market cap de XMS é sempre múltiplas vezes o market cap da Mars Stablecoin o que garante que a stablecoin possa ser resgatada sempre 1:1 a qualquer hora.

Mars Swap fornece liquidez entre a Mars Stablecoin e todos os outros tokens, fazendo do USDM o meio ideal de troca e reserva de valor para a DeFi. As taxas incorridas geradas na Mars Swap são usadas para garantir a estabilidade da Mars Stalecoin.

O programa de bug bounty está focado em seus contratos inteligentes e aplicativos e também focado em prevenir os seguintes impactos 💡:

  • Roubos e congelamentos de capital em qualquer quantia

  • Roubos e congelamentos de rendimentos não reclamados de qualquer quantia

  • Roubo de fundos de governança

  • Disrupção da atividade de Governança

  • Queda do Website

  • Vazamento de dados de usuários

  • Eliminação de dados de usuários

  • Acesso a páginas confidencias sem autorização

  • Falha do contrato inteligente de entregar os retornos baseados na APR

Todos os envios de bug devem passar pelo envio de bugs Immunefi na página de processo de bug bounty do Mars Ecosystem

A página de bug bounty do Mars Ecosystem pode ser vista em:

https://immunefi.com/bounty/marsecosystem

Quando um hacker clica no botão "Submit bug report", eles serão enviados para bugs.immunefi.com que os guiará através do processo de criar um relatório de bug.

Recompensas por nível de ameaça

Recompensas são distribuidas de acordo com o impacto da vulnerabilidade Baseado no Sistema de Classificação de Severidade da Immunefi. Está é uma escala simplificada de 5 níveis, com escalas separadas para websites/apps e contratos inteligentes/blockchain, abrangendo tudo de consequência de exploração ao privilégio necessário à probabilidade de uma exploração bem-sucedida.

Todos relatórios de bug devem vir com um PoC para ser considerado para uma recompensa.

Bugs reportados nas seguintes auditorias não são elegíveis para uma recompensa:

Auditoria SlowMist

Auditoria Certik

Pagamentos são efetuados pela equipe Mars Ecosystem e são denominados em USD. Entretanto, pagamentos são feitos em XMS ou BUSD,

Payouts are handled by the Mars Ecosystem team directly and are denominated in USD. However, payouts are done in XMS or BUSD, a critério da equipe.

Contratos inteligentes e Blockchain

  • Crítico até $60,000

  • Alto $15,000

  • Médio $5,000

  • Baixo $1,000

Websites e Apps

  • Crítico $10,000

  • Alto $5,000

  • Médio $1,000

Ativos no escopo

Todos os contratos inteligentes do Mars Ecosystem podem ser achados em https://github.com/MarsEcosystem. Entretanto, apenas aqueles na tabela Ativos em Escopo são considerados como no escopo para o programa de bug bounty.

Impactos no Escopo

Apenas os seguintes impactos serão aceitos dentro do programa de bug bounty. Todos os outros impactos não são considerados como em-escopo, mesmo se eles afetarem algo nos ativos da tabela no escopo.

Contratos inteligentes

  • Perca de fundos em stake de usuários (principal) por congelamento ou roubo

  • Perca de fundos de governança

  • Roubo de rendimentos não clamados

  • Congelamento de rendimentos não clamados

  • Congelamento temporário de fundos por qualquer quantia de tempo

  • Incapacidade de chamar um contrato inteligente

  • Dreno de gas do Contrato Inteligente

  • O contrato inteligente falha em entregar os retornos prometidos

  • Manipulação de votos

  • Ações incorretas de votos

Web/App

  • Comportamento incorreto ou não intencionado em relação o dinheiro. (ie o input do usuário é para 10 USDC no app, e nós na verdade enviamos 100 USDC para o contrato inteligente)

  • Estamos apontando para um contrato inteligente incorreto

  • Falsificação de solicitação entre sites (CSRF)

  • Cross-site scripting (XSS)

Vulnerabilidades Priorizadas

Nós estamos interessados especialmente em receber e recompensas vulnerabilidades dos seguintes tipos:

Contratos Inteligentes e Blockchain

  • Reentrada

  • Erros lógicos

    • incluindo erros de autenticação de usuários

  • Detalhes de Solidez/EVM não considerados

    • incluindo excesso / sub-fluxo de inteiro

    • incluindo erros de rounding

    • incluindo exceções não manejadas

  • Vulnerabilidade de confiança/dependência

    • incluindo vulnerabilidades de compossibilidade

  • Falha/manipulação Oracle

  • Novos ataques de governança

  • Ataque Econômicos/Financeiros

    • incluindo ataques de flash loan

  • Congestionamento e escalabilidade

    • incluindo esgotamento de gas

    • including enchimento de bloco

    • incluindo suscetibilidade à corrida

  • Falhas de Consenso

  • Problemas de Criptografia

    • Maleabilidade de assinatura

    • Suscetibilidade de repetição de ataques

    • Aleatoriedade fraca

    • Encriptação fraca

  • Suscetibilidade a manipulação de carimbo de blocos

  • Controles de acesso ausentes / interfaces internas desprotegidas ou de depuração

Websites and Apps

  • Execução Remota de Código

  • Vulnerabilidade de confiança/dependência

  • Escalação de Privilégio Vertical

  • Injeção de Entidades Externas de XML

  • Injeção de SQL

  • LFI/RFI

  • Escalação de Privilégio Horizontal

  • XSS Armazenado

  • XSS Refletivo com impacto

  • CSRF com impacto

  • Referência direta de objeto

  • SSRF interno

  • Fixação de sessão

  • Desserialização insegura

  • DOM XSS

  • Configurações erradas de SSL

  • Problemas de SSL/TLS (cripto fraca , configuração imprópria)

  • Redirecionamento de URL

  • Clickjacking (deve estar acompanhado com o PoC)

  • Texto Unicode enganoso (por exemplo, usando caracteres de substituição da direita para a esquerda)

Fora do Escopo e Regras

As seguintes vulnerabilidades estão excluidas das recompensas para esse programa de bug bounty:

  • Ataques que o próprio reportando já explorou, levando a danos

  • Ataques solicitando acessos a chaves vazadas/credenciais

  • Ataques solicitando acesso a endereços privilegiados (governança, estratégia)

Contratos Inteligentes e Blockchain

  • Dados incorretos fornecidos por oracles de terceiros

    • Não excluir manipulação de oracle/ataques flash loan

  • Ataques básicos de economia de governança (e.g. 51% attack)

  • Falta de liquidez

  • Críticas de melhores práticas

  • Ataques sybil

Websites and Apps

  • Vulnerabilidades teóricas sem qualquer prova ou demonstração

  • Falsificação de conteúdo/ Problemas de injeção de texto

  • Auto-XSS

  • Captcha bypass usando OCR

  • CSRF sem impacto de segurança (logout CSRF, mudança de linguagem, etc.)

  • Falta dos cabeçalhos de segurança HTTP (como opções X-FRAME) ou bandeira de segurança de cookie (como “httponly”)

  • Divulgações de informações do lado do servidor como IPs, nomes de servidores, Server-side information disclosure such as IPs, server names, e mais traços de pilhas

  • Vulnerabilidades usadas para enumerar ou confirmar a existência de usuários ou inquilinos

  • Vulnerabilidades solicitando ações incomuns de usuários

  • URL Redirects (unless combined with another vulnerability to produce a more severe vulnerability)

  • Falta de melhores práticas de SSL/TLS

  • Vulnerabilidades de DDoS

  • Ataques solicitando acesso privilegiado de dentro da organização

  • Requisições de funcionalidades

  • Melhores práticas

As seguintes atividades são proibidas por este programa de bug bounty:

  • Qualquer teste com contratos de mainnet ou testnet pública; todos os testes devem ser feitos em uma testnet privada

  • Qualquer teste com oracles de preço ou contratos inteligentes de terceiros

  • Tentativa de phishing ou outros ataques de engenharia social contra nossos empregados e/ou clientes

  • Qualquer teste com sistemas e aplicativos de terceiros (e.g., extensões de navegador) assim como websites (e.g., fornecedores de SSO, redes de anúncios)

  • Qualquer negação de serviços de ataque

  • Serviços automatizados de testes que geram significantes quantias de tráfico

  • Divulgação pública de uma vulnerabilidade não corrigida em um embarg

Last updated