Mars Ecosystem
Русский
Русский
  • Mars Ecosystem: Децентрализованная Экосистема Стабильных монет
  • БЕЛАЯ КНИГА
    • Вступление
    • Mars Казначейство
    • Чеканка / ремиссия / контроль тиража
    • Стабильность цен USDm
    • Протоколы Mars DeFi
    • Токен Экосистемы Mars
    • MarsDAO
    • Mars NFT
    • Генезис
  • ДРУГОЕ
    • Токеномика
    • Аудиты
    • Баг баунти
    • Инвесторы
    • Какова дорожная карта Mars Ecosystem?
    • Программа для капитанов
  • ОБЩИЕ ВОПРОСЫ
    • О нас
    • Как купить
      • Metamask
      • Binance Chain Wallet
      • Safepal
      • TokenPocket
      • BitKeep Wallet
    • Фарминг/пулы
      • Пул: Cake
      • Пул: XMS
      • Ферма: XMS-BNB
      • Ферма: Cake lp token
      • Вывод своих наград
  • Разработчикам
    • Адреса контрактов
Powered by GitBook
On this page
  • Обзор программы
  • Активы в зоне действия
  • Приоритетные уязвимости
  • Вне сферы действия и правил

Was this helpful?

  1. ДРУГОЕ

Баг баунти

PreviousАудитыNextИнвесторы

Last updated 3 years ago

Was this helpful?

Обзор программы

Фундаментальной проблемой большинства существующих протоколов стабильных монет является положительная экстернальность. Затраты на производство и поддержание стабильных монет несут протокол и его пользователи (майнеры, акционеры, держатели облигаций). В то время как большая часть стоимости поступает от транзакций со стейблкоинами в рамках примитивов DeFi и фиксируется этими примитивами DeFi.

Экосистема Mars решает эту проблему, объединяя создание и использование стейблкоина в одну стабильную, но децентрализованную экосистему. Взаимосвязь между Mars Stablecoin и платформой Mars DeFi создает петлю положительной обратной связи и порождает эффект маховика.

Mars Stablecoin (USDM) стабилен по цене, эффективен с точки зрения капитала, масштабируем и децентрализован. Это стабильный токен с избыточным обеспечением: возможность погашения USDM обеспечена токеном управления экосистемой Mars (XMS). Рыночная стоимость XMS всегда в несколько раз превышает рыночную стоимость Mars Stablecoin, что гарантирует, что в любой момент времени стейблкоин может быть выкуплен 1:1.

Mars Swap обеспечивает ликвидность между Mars Stablecoin и всеми другими токенами, делая USDM идеальным средством обмена и хранилищем стоимости для DeFi. Понесенные транзакционные сборы, генерируемые в Mars Swap, используются для поддержания стабильности Mars Stablecoin.

Эта программа исправления ошибок сосредоточена на их смарт-контрактах и приложении и направлена на предотвращение следующих последствийs:

  • Кражи и замораживание основной суммы долга в любом размере

  • Кражи и замораживание невостребованного дохода в любом размере

  • Хищение средств управления

  • Нарушение деятельности управления

  • Неисправности веб-сайта

  • Утечка пользовательских данных

  • Удаление данных пользователя

  • Доступ к конфиденциальным страницам без авторизации

  • Смарт-контракты не могут обеспечить обещанный доход на основе APR

Страницу вознаграждения за баги Marecosystem можно посмотреть по адресу:

Вознаграждения по уровню угрозы

Все сообщения об ошибках в веб-сайтах/приложениях должны сопровождаться PoC, чтобы быть рассмотренными для получения вознаграждения.

Ошибки, о которых сообщается в следующих аудитах, не могут быть вознаграждены:

Выплаты осуществляются непосредственно командой Mars Ecosystem и деноминированы в долларах США. Однако выплаты производятся в XMS или BUSD, на усмотрение команды.

Смарт-контракты и блокчейн

  • Критическая До $60,000

  • Высокая $15,000

  • Средняя $5,000

  • Низкая $1,000

Веб-сайты и приложения

  • Критическая $10,000

  • Высокая $5,000

  • Средняя $1,000

Активы в зоне действия

Воздействия в масштабе

В рамках данной программы "баг баунти" принимаются только следующие воздействия. Все остальные воздействия не считаются входящими в сферу применения, даже если они затрагивают что-то из активов, указанных в таблице сфер применения.

Смарт-контракты

  • Потеря средств пользователей в стейкинге (основной суммы), в результате замораживания или кражи

  • Потеря средств управления

  • Кража невостребованного дохода

  • Заморозка невостребованной доходности

  • Временная заморозка средств на любой срок

  • Невозможность вызова смарт-контракта

  • Проблемы с комиссиями смарт-контракта

  • Смарт-контракт не может обеспечить обещанную доходность

  • Манипуляция голосованием

  • Неправильные действия при голосовании

Веб/Приложение

  • Неправильное или непреднамеренное поведение, связанное с деньгами. (т.е. пользователь вводит 10 USDC в приложении, а на самом деле мы отправляем 100 USDC в смарт-контракт)

  • Мы указываем на неправильный смарт-контракт

  • Подделка межсайтового запроса (CSRF)

  • Межсайтовый скриптинг (XSS)

Приоритетные уязвимости

Мы особенно заинтересованы в получении и вознаграждении уязвимостей следующих типов:

Смарт-контракты и блокчейн

  • Re-entrancy

  • Логические ошибки,

    • включая ошибки аутентификации пользователя

  • Не учтены детали Solidity/EVM

    • включая целочисленные превышения/недополнения

    • включая ошибки округления

    • включая необработанные исключения

  • Уязвимости доверия/зависимости

    • включая уязвимости композитности

  • Сбой/манипуляция Oracle

  • Новые атаки на управление

  • Экономические/финансовые атаки,

    • включая атаки флэш-кредитованием

  • Перегруженность и масштабируемость,

    • включая нехватку газа,

    • включая забивание блоков,

    • включая восприимчивость к опережению

  • Сбои консенсуса

  • Проблемы криптографии

    • Модальность подписи

    • Подверженность атакам повторного воспроизведения

    • Слабая случайность

    • Слабое шифрование

  • Восприимчивость к манипуляциям с временной меткой блока

  • Отсутствие контроля доступа / незащищенные внутренние или отладочные интерфейсы

Веб-сайты и приложения

  • Удаленное выполнение кода

  • Уязвимости доверия/зависимости

  • Вертикальная эскалация привилегий

  • Инъекция внешних сущностей XML

  • Инъекция SQL

  • LFI/RFI

  • Горизонтальная эскалация привилегий

  • Хранимый XSS

  • Отражающий XSS с воздействием

  • CSRF с воздействием

  • Прямая ссылка на объект

  • Внутренний SSRF

  • Фиксация сессии

  • Небезопасная десериализация

  • DOM XSS

  • Неправильная конфигурация SSL

  • Проблемы SSL/TLS (слабая криптозащита, неправильная настройка)

  • Перенаправление URL

  • Clickjacking (должен сопровождаться PoC)

  • Вводящий в заблуждение текст Unicode (например, использование символов переопределения справа налево)

Вне сферы действия и правил

Следующие уязвимости исключены из вознаграждения по этой программе "bug bounty":

  • Атаки, которые репортер уже использовал сам, что привело к ущербу

  • Атаки, требующие доступа к утечке ключей/учетных данных

  • Атаки, требующие доступа к привилегированным адресам (руководство, стратег)

Смарт-контракты и блокчейн

  • Неверные данные, предоставленные сторонними оракулами

    • Не следует исключать манипуляции с оракулами/атаки флэш-кредитования

  • Атаки на базовое экономическое управление (например, атака 51%)

  • Отсутствие ликвидности

  • Критика лучших практик

  • Атаки Sybil

Веб-сайты и приложения

  • Теоретические уязвимости без каких-либо доказательств или демонстрации

  • Подмена содержимого / проблемы с инъекцией текста

  • Self-XSS

  • Обход капчи с помощью OCR

  • CSRF без влияния на безопасность (выход из системы CSRF, изменение языка и т.д.)

  • Отсутствующие заголовки безопасности HTTP (например, X-FRAME-OPTIONS) или флаги безопасности cookie (например, "httponly")

  • Раскрытие информации на стороне сервера, такой как IP-адреса, имена серверов и большинство трассировок стека.

  • Уязвимости, используемые для перечисления или подтверждения существования пользователей или арендаторов

  • Уязвимости, требующие маловероятных действий пользователя

  • Перенаправления URL (если только они не сочетаются с другой уязвимостью для создания более серьезной уязвимости).

  • Отсутствие лучших практик SSL/TLS

  • DDoS-уязвимости

  • Атаки, требующие привилегированного доступа изнутри организации

  • Запросы функций

  • Лучшие практики

Следующие действия запрещены данной программой "bug bounty":

  • Любое тестирование с контрактами mainnet или публичной тестовой сети; все тестирование должно проводиться в частных тестовых сетях

  • Любое тестирование с оракулами ценообразования или смарт-контрактами третьих сторон

  • Попытки фишинга или других социально-инженерных атак против наших сотрудников и/или клиентов

  • Любое тестирование с использованием сторонних систем и приложений (например, расширений для браузеров), а также веб-сайтов (например, провайдеров SSO, рекламных сетей)

  • Любые атаки на отказ в обслуживании

  • Автоматическое тестирование сервисов, генерирующее значительные объемы трафика

  • Публичное раскрытие непропатченной уязвимости в баунти, на которое наложено эмбарго

Все сообщения об ошибках должны проходить через процесс отправки сообщений Immunefi на

Когда хакер нажмет кнопку "Отправить сообщение об ошибке", он попадет на сайт , который проведет его через весь процесс создания сообщения об ошибке.

Вознаграждения распределяются в зависимости от степени воздействия уязвимости на основе системы . Это упрощенная 5-уровневая шкала, с отдельными шкалами для веб-сайтов/приложений и смарт-контрактов/блокчейнов, охватывающая все аспекты, от последствий эксплуатации до требуемых привилегий и вероятности успешной эксплуатации.

Все смарт-контракты экосистемы Mars Ecosystem можно найти на сайте . Однако только те из них, которые указаны в таблице активов (Assets in Scope), считаются входящими в сферу действия программы вознаграждения за ошибки.

💡
cтранице баг баунти Mars Ecosystem
https://immunefi.com/bounty/marsecosystem
https://bugs.immunefi.com
классификации серьезности уязвимостей Immunefi
SlowMist Аудит
CertiK Аудит
https://github.com/MarsEcosystem