Баг баунти
Last updated
Was this helpful?
Last updated
Was this helpful?
Фундаментальной проблемой большинства существующих протоколов стабильных монет является положительная экстернальность. Затраты на производство и поддержание стабильных монет несут протокол и его пользователи (майнеры, акционеры, держатели облигаций). В то время как большая часть стоимости поступает от транзакций со стейблкоинами в рамках примитивов DeFi и фиксируется этими примитивами DeFi.
Экосистема Mars решает эту проблему, объединяя создание и использование стейблкоина в одну стабильную, но децентрализованную экосистему. Взаимосвязь между Mars Stablecoin и платформой Mars DeFi создает петлю положительной обратной связи и порождает эффект маховика.
Mars Stablecoin (USDM) стабилен по цене, эффективен с точки зрения капитала, масштабируем и децентрализован. Это стабильный токен с избыточным обеспечением: возможность погашения USDM обеспечена токеном управления экосистемой Mars (XMS). Рыночная стоимость XMS всегда в несколько раз превышает рыночную стоимость Mars Stablecoin, что гарантирует, что в любой момент времени стейблкоин может быть выкуплен 1:1.
Mars Swap обеспечивает ликвидность между Mars Stablecoin и всеми другими токенами, делая USDM идеальным средством обмена и хранилищем стоимости для DeFi. Понесенные транзакционные сборы, генерируемые в Mars Swap, используются для поддержания стабильности Mars Stablecoin.
Эта программа исправления ошибок сосредоточена на их смарт-контрактах и приложении и направлена на предотвращение следующих последствийs:
Кражи и замораживание основной суммы долга в любом размере
Кражи и замораживание невостребованного дохода в любом размере
Хищение средств управления
Нарушение деятельности управления
Неисправности веб-сайта
Утечка пользовательских данных
Удаление данных пользователя
Доступ к конфиденциальным страницам без авторизации
Смарт-контракты не могут обеспечить обещанный доход на основе APR
Страницу вознаграждения за баги Marecosystem можно посмотреть по адресу:
Все сообщения об ошибках в веб-сайтах/приложениях должны сопровождаться PoC, чтобы быть рассмотренными для получения вознаграждения.
Выплаты осуществляются непосредственно командой Mars Ecosystem и деноминированы в долларах США. Однако выплаты производятся в XMS или BUSD, на усмотрение команды.
Критическая До $60,000
Высокая $15,000
Средняя $5,000
Низкая $1,000
Веб-сайты и приложения
Критическая $10,000
Высокая $5,000
Средняя $1,000
В рамках данной программы "баг баунти" принимаются только следующие воздействия. Все остальные воздействия не считаются входящими в сферу применения, даже если они затрагивают что-то из активов, указанных в таблице сфер применения.
Смарт-контракты
Потеря средств пользователей в стейкинге (основной суммы), в результате замораживания или кражи
Потеря средств управления
Кража невостребованного дохода
Заморозка невостребованной доходности
Временная заморозка средств на любой срок
Невозможность вызова смарт-контракта
Проблемы с комиссиями смарт-контракта
Смарт-контракт не может обеспечить обещанную доходность
Манипуляция голосованием
Неправильные действия при голосовании
Веб/Приложение
Неправильное или непреднамеренное поведение, связанное с деньгами. (т.е. пользователь вводит 10 USDC в приложении, а на самом деле мы отправляем 100 USDC в смарт-контракт)
Мы указываем на неправильный смарт-контракт
Подделка межсайтового запроса (CSRF)
Межсайтовый скриптинг (XSS)
Мы особенно заинтересованы в получении и вознаграждении уязвимостей следующих типов:
Смарт-контракты и блокчейн
Re-entrancy
Логические ошибки,
включая ошибки аутентификации пользователя
Не учтены детали Solidity/EVM
включая целочисленные превышения/недополнения
включая ошибки округления
включая необработанные исключения
Уязвимости доверия/зависимости
включая уязвимости композитности
Сбой/манипуляция Oracle
Новые атаки на управление
Экономические/финансовые атаки,
включая атаки флэш-кредитованием
Перегруженность и масштабируемость,
включая нехватку газа,
включая забивание блоков,
включая восприимчивость к опережению
Сбои консенсуса
Проблемы криптографии
Модальность подписи
Подверженность атакам повторного воспроизведения
Слабая случайность
Слабое шифрование
Восприимчивость к манипуляциям с временной меткой блока
Отсутствие контроля доступа / незащищенные внутренние или отладочные интерфейсы
Веб-сайты и приложения
Удаленное выполнение кода
Уязвимости доверия/зависимости
Вертикальная эскалация привилегий
Инъекция внешних сущностей XML
Инъекция SQL
LFI/RFI
Горизонтальная эскалация привилегий
Хранимый XSS
Отражающий XSS с воздействием
CSRF с воздействием
Прямая ссылка на объект
Внутренний SSRF
Фиксация сессии
Небезопасная десериализация
DOM XSS
Неправильная конфигурация SSL
Проблемы SSL/TLS (слабая криптозащита, неправильная настройка)
Перенаправление URL
Clickjacking (должен сопровождаться PoC)
Вводящий в заблуждение текст Unicode (например, использование символов переопределения справа налево)
Атаки, которые репортер уже использовал сам, что привело к ущербу
Атаки, требующие доступа к утечке ключей/учетных данных
Атаки, требующие доступа к привилегированным адресам (руководство, стратег)
Смарт-контракты и блокчейн
Неверные данные, предоставленные сторонними оракулами
Не следует исключать манипуляции с оракулами/атаки флэш-кредитования
Атаки на базовое экономическое управление (например, атака 51%)
Отсутствие ликвидности
Критика лучших практик
Атаки Sybil
Веб-сайты и приложения
Теоретические уязвимости без каких-либо доказательств или демонстрации
Подмена содержимого / проблемы с инъекцией текста
Self-XSS
Обход капчи с помощью OCR
CSRF без влияния на безопасность (выход из системы CSRF, изменение языка и т.д.)
Отсутствующие заголовки безопасности HTTP (например, X-FRAME-OPTIONS) или флаги безопасности cookie (например, "httponly")
Раскрытие информации на стороне сервера, такой как IP-адреса, имена серверов и большинство трассировок стека.
Уязвимости, используемые для перечисления или подтверждения существования пользователей или арендаторов
Уязвимости, требующие маловероятных действий пользователя
Перенаправления URL (если только они не сочетаются с другой уязвимостью для создания более серьезной уязвимости).
Отсутствие лучших практик SSL/TLS
DDoS-уязвимости
Атаки, требующие привилегированного доступа изнутри организации
Запросы функций
Лучшие практики
Любое тестирование с контрактами mainnet или публичной тестовой сети; все тестирование должно проводиться в частных тестовых сетях
Любое тестирование с оракулами ценообразования или смарт-контрактами третьих сторон
Попытки фишинга или других социально-инженерных атак против наших сотрудников и/или клиентов
Любое тестирование с использованием сторонних систем и приложений (например, расширений для браузеров), а также веб-сайтов (например, провайдеров SSO, рекламных сетей)
Любые атаки на отказ в обслуживании
Автоматическое тестирование сервисов, генерирующее значительные объемы трафика
Публичное раскрытие непропатченной уязвимости в баунти, на которое наложено эмбарго
Все сообщения об ошибках должны проходить через процесс отправки сообщений Immunefi на
Когда хакер нажмет кнопку "Отправить сообщение об ошибке", он попадет на сайт , который проведет его через весь процесс создания сообщения об ошибке.
Вознаграждения распределяются в зависимости от степени воздействия уязвимости на основе системы . Это упрощенная 5-уровневая шкала, с отдельными шкалами для веб-сайтов/приложений и смарт-контрактов/блокчейнов, охватывающая все аспекты, от последствий эксплуатации до требуемых привилегий и вероятности успешной эксплуатации.
Все смарт-контракты экосистемы Mars Ecosystem можно найти на сайте . Однако только те из них, которые указаны в таблице активов (Assets in Scope), считаются входящими в сферу действия программы вознаграждения за ошибки.