Français

Bug Bounty

Aperçu du programme

Le problème fondamental de la plupart des protocoles actuels de pièces stables est l'externalité positive. Les coûts de production et de maintenance des stablecoins sont supportés par le protocole et ses utilisateurs (mineurs, actionnaires, détenteurs d'obligations). Alors que la majorité de la valeur provient de la transaction des stablecoins vers les plateformes DeFi et est capturée par ces plateformes DeFi.

L'écosystème Mars résout ce problème en intégrant la création et l'utilisation de stablecoins dans un écosystème stable mais décentralisé. La relation entre Mars Stablecoin et la plateforme Mars DeFi crée une boucle de rétroaction positive et génère un effet volant. Le Mars Stablecoin (USDm) est stable en termes de prix, efficace en termes de capital, évolutif et décentralisé. C'est un stablecoin sur-garanti : la remboursabilité de l'USDm est garantie par le jeton de gouvernance de l'écosystème Mars (XMS). La capitalisation boursière de XMS est toujours plusieurs fois supérieure à celle du Mars Stablecoin, ce qui garantit que le stablecoin peut être racheté 1:1 à tout moment.

Le Mars Swap assure la liquidité entre le Mars Stablecoin et tous les autres jetons, faisant du USDm le moyen d'échange et la réserve de valeur idéale pour la DeFi. Les frais de transaction générés par Mars Swap sont utilisés pour soutenir la stabilité de l’USDm.

Ce programme de bug bounty se concentre sur les smart contracts et les applications et vise à prévenir des impacts suivants💡:

  • Vols et gel du principal de tout montant

  • Vols et gel du rendement non réclamé de tout montant

  • Vol de fonds de gouvernance

  • Perturbation des activités de gouvernance

  • Panne du site web

  • Fuite de données d'utilisateurs

  • Suppression de données d'utilisateurs

  • Accès à des pages sensibles sans autorisation

  • Les smart contracts ne parviennent pas à fournir les rendements promis sur la base de l’APR.

Toutes les soumissions de bug doivent passer par le processus de soumission de bug d'Immunefi sur la page de primes aux bug de Mars Ecosystem.

La page bug bounty peut être consultée à l'adresse suivante :

https://immunefi.com/bounty/marsecosystem

Lorsqu'un utilisateur clique sur le bouton "Submit bug report" (soumettre un bug), il est envoyé sur bugs.immunefi.com qui le guidera tout au long du processus de création d'un rapport de bug.

Récompenses par niveau de menace

Les récompenses sont distribuées en fonction de l'impact de la vulnérabilité, sur la base du système de classification de la gravité des vulnérabilités d'Immunefi. Il s'agit d'une échelle simplifiée à 5 niveaux, avec des échelles distinctes pour le sites web/application et les smart contracts/blockchains, qui englobe tout, des conséquences de l'exploitation aux privilèges requis en passant par la probabilité d'une exploitation réussie.

Tous les rapports de bug concernant le sites web/application doivent être accompagnés d'une preuve de concept afin d'être pris en compte pour une récompense.

Les bugs signalés dans les audits suivants ne sont pas éligibles pour une récompense :

Audit SlowMist

Audit CertiK

Les paiements sont gérés directement par l'équipe de Mars Ecosystem et sont libellés en USD. Cependant, les paiements sont effectués en XMS ou BUSD, à la discrétion de l'équipe.

Smart contracts et blockchain

  • Critique jusqu'à $60 000

  • Élevé $15 000

  • Moyen $5 000

  • Faible $1 000

Site web et application

  • Critique $10 000

  • Élevé $5 000

  • Moyen $1 000

Actifs ciblés

Tous les smart contracts de Mars Ecosystem peuvent être trouvés sur https://github.com/MarsEcosystem. Cependant, seuls ceux qui figurent dans le tableau des actifs ciblés sont considérés comme étant dans le champ d'application du programme de bug bounty.

Impacts ciblés

Seuls les impacts suivants sont acceptés dans le cadre de ce programme de bug bounty. Tous les autres impacts ne sont pas considérés comme faisant partie du champ d'application, même s'ils affectent quelque chose dans le tableau des actifs ciblés.

Smart Contracts

  • Perte des fonds des utilisateurs mis en jeu (principal) par gel ou vol

  • Perte de fonds de gouvernance

  • Vol de rendement non réclamé

  • Gel du rendement non réclamé

  • Gel temporaire des fonds pour une durée indéterminée

  • Impossibilité de faire appel au smart contract

  • Drainage des frais du contrat intelligent

  • Le smart contract ne parvient pas à fournir les rendements promis

  • Manipulation des votes

  • Actions de vote incorrectes

Site Web/Application

  • Comportement incorrect ou involontaire concernant l'argent. (par exemple, l'entrée de l'utilisateur est de 10 USDC sur l'application, et nous envoyons en fait 100 USDC au smart contract).

  • Nous dirigeons vers un smart contract incorrect

  • Falsification de requête intersite (CSRF)

  • Scriptage intersite (XSS)

Vulnérabilités prioritaires

Nous sommes particulièrement intéressés à recevoir et à récompenser les vulnérabilités des types suivants :

Smart Contracts et Blockchain

  • Ré-entrée

  • Erreurs de logique

    • y compris les erreurs d'authentification des utilisateurs

  • Détails Solidity/EVM non pris en compte

    • y compris le dépassement ou le sous-dépassement des nombres entiers

    • y compris les erreurs d'arrondi

    • y compris les exceptions non gérées

  • Vulnérabilités de confiance/dépendance

    • y compris les vulnérabilités de composabilité

  • Défaillance/manipulation d'Oracle

  • Nouvelles attaques de gouvernance

  • Attaques économiques/financières

    • y compris les attaques par prêt flash

  • Congestion et évolutivité

    • y compris la panne de frais

    • y compris le bourrage de blocs

    • y compris la susceptibilité au frontrunning

  • Échecs du consensus

  • Problèmes de cryptographie

  • Malléabilité des signatures

  • Susceptibilité aux attaques par rejeu

  • Faiblesse du caractère aléatoire

  • Faiblesse du cryptage

  • Susceptibilité à la manipulation de l'horodatage des blocs

  • Absence de contrôles d'accès / interfaces internes ou de débogage non protégées

Sites Web et applications

  • Exécution de code à distance

  • Vulnérabilités de confiance/dépendance

  • Escalade verticale de privilèges

  • Injection d'entités externes XML

  • Injection SQL LFI/RFI

  • Escalade horizontale de privilèges

  • XSS stocké

  • XSS réflectif avec impact

  • CSRF avec impact

  • Référence directe à un objet

  • SSRF interne

  • Fixation de session

  • Désérialisation non sécurisée

  • DOM XSS

  • Mauvaise configuration de SSL

  • Problèmes SSL/TLS (cryptage faible, configuration incorrecte)

  • Redirection d'URL

  • Clickjacking (doit être accompagné d'un PoC)

  • Texte Unicode trompeur (par exemple, utilisation de caractères de remplacement de droite à gauche)

Hors champ et règles

Les vulnérabilités suivantes sont exclues des récompenses de ce programme de bug bounty :

  • Attaques que le rapporteur a déjà exploitées lui-même, entraînant des dommages

  • Attaques nécessitant l'accès à des clés/crédits fuités

  • Attaques nécessitant l'accès à des adresses privilégiées (gouvernance, stratège)

Smart Contracts et Blockchain

  • Données erronées fournies par des oracles tiers

  • Ne pas exclure les attaques par manipulation d'oracle/prêt-à-porter.

  • Attaques liées à la gouvernance économique de base (par exemple, attaque des 51 %)

  • Manque de liquidité

  • Critiques des meilleures pratiques

  • Attaques sybile

Site Web et Application

  • Vulnérabilités théoriques sans aucune preuve ou démonstration

  • Usurpation de contenu / Injection de texte

  • Self-XSS

  • Contournement de captcha par OCR

  • CSRF sans impact sur la sécurité (CSRF de déconnexion, de changement de langue, etc.) En-têtes de sécurité HTTP manquants (tels que X-FRAME-OPTIONS) ou indicateurs de sécurité des cookies (tels que "httponly")

  • Divulgation d'informations côté serveur, telles que les adresses IP, les noms de serveur et la plupart des traces de pile.

  • Vulnérabilités utilisées pour énumérer ou confirmer l'existence d'utilisateurs ou de locataires.

  • Vulnérabilités nécessitant des actions improbables de la part de l'utilisateur

  • Redirections d'URL (sauf si elles sont combinées à une autre vulnérabilité pour produire une vulnérabilité plus grave)

  • Absence de bonnes pratiques SSL/TLS Vulnérabilités

  • DDoS Attaques nécessitant un accès privilégié depuis l'intérieur de l'organisation

  • Demandes de fonctionnalités

  • Best practices

Les activités suivantes sont interdites par ce programme de bug bounty :

  • Tout test avec des contrats du réseau principal ou du réseau de test public ; tous les tests doivent être effectués sur des réseaux de test privés.

  • Tout test avec des oracles de tarification ou des smart contracts de tiers.

  • Tentative d'hameçonnage ou autres attaques d'ingénierie sociale contre nos employés et/ou clients.

  • Tout test avec des systèmes et des applications tiers (par exemple, des extensions de navigateur) ainsi que des sites Web (par exemple, des fournisseurs de SSO, des réseaux publicitaires).

  • Toute attaque par déni de service

  • Tests automatisés de services générant des quantités importantes de trafic

  • Divulgation publique d'une vulnérabilité non corrigée dans le cadre d'un programme de primes sous embargo.

PreviousAuditsNextInvestisseurs

Last updated