Bug Bounty/バグバウンティ(バグ報奨金制度)

報奨制度の概要

現在、ほぼ全てのステイブルコイン・プロトコルにおける基礎的な問題は、正の外部性にあります。ステイブルコインの生産管理コストは、プロトコルとそのユーザ(採掘者、株主、債券保有者)によって負担されていますが、一方で、その利益の大部分は、DeFiプリミティブ内におけるステイブルコインの取引によってもたらされ、これらのDeFiプリミティブによって収得されています。

この問題を解決する為に、Mars Ecosystemでは、ステーブルコインの生産と利用を、安定した、かつ分散化されたエコシステム内に統合しています。つまり、Mars StablecoinとMars DeFiプラットフォームという二つを一つに統合することで、互いの相関による正の循環連鎖を促し、フライホイール効果を発生させています。

Mars Stablecoin (USDM)は、価格が安定しており、資本効率が高く、スケーラブルで分散型です。更に、USDMの換金性は、Mars Ecosystem Governance Token (XMS)によって担保されています。XMSの時価総額は、常にMars Stablecoinの時価総額の複数倍になるように設定される為、より安定したコインをいつでも1対1で償還出来るように保証することが可能です。

Mars Swapは、Mars Stablecoin(USDM)をDeFiの理想的な交換手段、価値の保存手段としながら、他のすべてのトークンとの間に流動性を提供します。更に、Mars Swapで発生した取引手数料は、Mars Stablecoinの安定性を裏付けるためにも使用されます。

本バグ報奨金制度は、同社のスマートコントラクトとアプリに焦点を当て、以下の影響を防ぐことを目的としています💡:

  • 金額を問わず元本に対する盗難及び凍結

  • 金額を問わず未請求の金利に対する盗難と凍結

  • ガバナンス資金の盗難

  • ガバナンス活動の妨害

  • ウェブサイトのダウン

  • 個人情報の流出

  • ユーザーデータの消失

  • 機密ページへの不正アクセス

  • スマートコントラクトによるAPRベース金利提供の失敗

すべてのバグの提出は、 Marsecosystem bug bounty page上にあるImmunefiによるバグ提出プロセスを経る必要があります。

The Marecosystem bug bounty page は、以下より確認出来ます:

https://immunefi.com/bounty/marsecosystem

上記より"Submit bug report"ボタンを押すと、bugs.immunefi.comに転送され、バグレポート作成のプロセスに案内されます。

脅威のレベルに応じた報酬

報酬は、 Immunefi Vulnerability Severity Classification Systemに基づいて、脆弱性の影響度に応じて分配されます。これは、Webサイトとアプリや、スマートコントラクトとブロックチェーンに対応する5段階スケールを元に、脆弱性の影響力から、エクスプロイトが成功する可能性に対する必要権限まで、すべてを網羅しています。

すべてのウェブ/アプリのバグレポートが報酬の対象となる為には、PoCに基づく必要があります。

なお、以下の監査機関によって報告されたバグは報奨対象にはなりません。

SlowMist Audit

CertiK Audit

報酬はMars Ecosystemチームにより直接、米ドル建てで支払われます。但し、チームの判断により、XMSやBUSDにて支払われる事もあります。

スマートコントラクト及びブロックチェーン

  • 危機的リスク 最大 $60,000

  • ハイリスク $15,000

  • ミディアムリスク $5,000

  • ローリスク $1,000

ウェブサイト及びアプリケーション

  • 危機的リスク $10,000

  • ハイリスク $5,000

  • ミディアムリスク $1,000

対象となる資産

Mars Ecosystemの全てのスマートコントラクトは、https://github.com/MarsEcosystem にて確認できます。ただし、バグ報奨金制度対象となるのは、Assets in Scopeの表にあるものだけです。

本バグ報奨金制度では、以下のリストに掲載されているものが対象となります。それ以外は、たとえ一覧表内にある資産の何れかに影響を与えたとしても、対象外となります。

スマートコントラクト

  • 凍結や盗難によるユーザー資金(元本)の消失

  • ガバナンス資金の消失

  • 未請求分金利の盗難

  • 未請求分金利の凍結

  • 期間を問わず資金の一時的な凍結

  • スマートコントラクトの停止

  • スマートコントラクトのガス流失

  • スマートコントラクトによる確定金利の供給停止

  • 投票の操作

  • ポーリングアクションの機能不全

Web/App

  • 資金に関する誤った、または意図しない動作(例:ユーザーはアプリ上で10USと入力したにも関わらず、100USドルをスマートコントラクトに送金している)

  • 誤ったスマートコントラクトの指定

  • Cross-site request forgery (CSRF)/CSRF攻撃

  • Cross-site scripting (XSS)/Dappsの脆弱性を利用した攻撃

Prioritized Vulnerabilities/優先度の高い脆弱性

以下に分類される脆弱性は特に優先順位が高いものです:

スマートコントラクト及びブロックチェーン

リエントラント(再入可能性)

  • ロジックエラー

    • ユーザの認証エラーを含む

  • Solidity/EVM (詳細は不問)

    • 整数オーバー/アンダーフロー攻撃を含む

    • ラウンディングエラー(丸め誤差)を含む

    • 未処理の例外を含む

  • 信頼/依存に対する脆弱性

    • コンポーサビリティの脆弱性を含む

  • オラクルの障害/改ざん

  • 新規ガバナンス攻撃

  • 経済/金融攻撃

    • フラッシュローン攻撃を含む

  • 渋滞及びスケーラビリティ

    • ガス代の不足を含む

    • ブロック・スタッフィングを含む

    • フロントランに対する感応度を含む

  • コンセンサスの過誤

  • 暗号技術の問題

    • トランザクション展性

    • リプレイアタック(反射攻撃)に対する感応性

    • 弱ランダム性

    • 脆弱な暗号性

  • ブロックのタイムスタンプに対する感応性

  • アクセスコントロールの欠如/保護されていない内部またはデバッグ用インターフェース

WebサイトとApps

  • リモートコードの実行

  • トラストに対する信頼/依存の脆弱性

  • Vertical Privilege Escalation/垂直権限昇格攻撃

  • XML External Entities Injection/XML 外部エンティティ攻撃

  • SQL Injection/ SQLインジェクション

  • LFI/RFI

  • Horizontal Privilege Escalation/ 水平権限昇格攻撃

  • Stored XSS/ 格納型クロスサイトスクリプティング

  • Reflective XSS with impact/ 実害を伴う反射型クロスサイトスクリプティング

  • CSRF with impact/ 実害を伴うクロスサイト・リクエスト・フォージェリ

  • Direct object reference/ IDOR

  • Internal SSRF/ SSRF脆弱性

  • Session fixation / セッションIDの固定化攻撃

  • Insecure Deserialization / 安全でないデシリアライゼーション

  • DOM XSS / DOMベースXSS

  • SSL misconfigurations / SSL不良

  • SSL/TLS issues (weak crypto, improper setup) / SSL/TLSの問題(脆弱な暗号、不適切な設定)

  • URL redirect / URLリダイレクト

  • Clickjacking (must be accompanied with PoC) / クリックジャッキング(PoCの添付必須)

  • Misleading Unicode text (e.g. using right to left override characters) / 誤解を招くUnicodeテキスト(例:右から左へのオーバーライド文字の使用)

対象外とルール

以下の脆弱性は、本バグバウンティプログラムの報奨金から除外されます:

  • 報告者自身のエクスプロイトにより被害を出している攻撃

  • 漏洩した鍵や認証情報へのアクセスを要求する攻撃

  • 特権的なアドレスへのアクセスを必要とする攻撃(ガバナンス、ストラテジスト)

スマート・コントラクト及びブロックチェーン

  • サードパーティのオラクルより提供された誤ったデータ

    • オラクル操作/フラッシュローン攻撃は除外しない

  • 基本的な経済的ガバナンス攻撃(例:51%攻撃)

  • 流動性の欠如

  • ベスト・プラクティス・クリティーク

  • シビル攻撃

ウェブサイト及びApps

  • 証明や実証のない理論上の脆弱性

  • コンテンツの偽装/テキストインジェクションの問題

  • セルフ-XSS

  • OCRを用いたCaptchaのバイパス

  • セキュリティに影響を与えないCSRF(ログアウトしたCSRF、言語の変更, etc.)

  • HTTPセキュリティヘッダ(X-FRAME-OPTIONSなど)やCookieセキュリティフラグ(httponlyなど)の欠落

  • IP、サーバー名、ほとんど全てのスタックトレースを含むサーバー側の情報公開

  • ユーザーやテナントの存在を列挙または確認するために使用される脆弱性

  • 想定外のユーザーアクションを必要とする脆弱性

  • URLリダイレクト(他の脆弱性と組み合わされて、より深刻な脆弱性となる場合を除く)

  • SSL/TLSにおけるベスト・プラクティスの欠如

  • DDoS 脆弱性

  • 組織内からの特権的なアクセスを必要とする攻撃

  • 機能リクエスト

  • ベスト・プラクティス

本バグバウンティプログラムでは、以下の行為は禁止されています:

  • メインネットやパブリックテストネットのコントラクトによるテスト;すべてプライベートテストネットで行って頂きます。

  • 価格オラクルやサードパーティのスマートコントラクトを使ったあらゆるテスト

  • 当社の従業員や顧客に対して、フィッシングやその他のソーシャルエンジニアリング攻撃を試みること

  • サードパーティのシステムやアプリケーション(ブラウザの拡張機能など)、およびウェブサイト(SSOプロバイダー、広告ネットワークなど)を使用したあらゆるテスト)

  • あらゆるDOS攻撃

  • 大量のトラフィックを発生させる自動テスト

  • 未パッチの脆弱性の一般への公開

Last updated