Баг баунти

Обзор программы

Фундаментальной проблемой большинства существующих протоколов стабильных монет является положительная экстернальность. Затраты на производство и поддержание стабильных монет несут протокол и его пользователи (майнеры, акционеры, держатели облигаций). В то время как большая часть стоимости поступает от транзакций со стейблкоинами в рамках примитивов DeFi и фиксируется этими примитивами DeFi.

Экосистема Mars решает эту проблему, объединяя создание и использование стейблкоина в одну стабильную, но децентрализованную экосистему. Взаимосвязь между Mars Stablecoin и платформой Mars DeFi создает петлю положительной обратной связи и порождает эффект маховика.

Mars Stablecoin (USDM) стабилен по цене, эффективен с точки зрения капитала, масштабируем и децентрализован. Это стабильный токен с избыточным обеспечением: возможность погашения USDM обеспечена токеном управления экосистемой Mars (XMS). Рыночная стоимость XMS всегда в несколько раз превышает рыночную стоимость Mars Stablecoin, что гарантирует, что в любой момент времени стейблкоин может быть выкуплен 1:1.

Mars Swap обеспечивает ликвидность между Mars Stablecoin и всеми другими токенами, делая USDM идеальным средством обмена и хранилищем стоимости для DeFi. Понесенные транзакционные сборы, генерируемые в Mars Swap, используются для поддержания стабильности Mars Stablecoin.

Эта программа исправления ошибок сосредоточена на их смарт-контрактах и приложении и направлена на предотвращение следующих последствийs💡:

  • Кражи и замораживание основной суммы долга в любом размере

  • Кражи и замораживание невостребованного дохода в любом размере

  • Хищение средств управления

  • Нарушение деятельности управления

  • Неисправности веб-сайта

  • Утечка пользовательских данных

  • Удаление данных пользователя

  • Доступ к конфиденциальным страницам без авторизации

  • Смарт-контракты не могут обеспечить обещанный доход на основе APR

Все сообщения об ошибках должны проходить через процесс отправки сообщений Immunefi на cтранице баг баунти Mars Ecosystem

Страницу вознаграждения за баги Marecosystem можно посмотреть по адресу:

https://immunefi.com/bounty/marsecosystem

Когда хакер нажмет кнопку "Отправить сообщение об ошибке", он попадет на сайт https://bugs.immunefi.com, который проведет его через весь процесс создания сообщения об ошибке.

Вознаграждения по уровню угрозы

Вознаграждения распределяются в зависимости от степени воздействия уязвимости на основе системы классификации серьезности уязвимостей Immunefi. Это упрощенная 5-уровневая шкала, с отдельными шкалами для веб-сайтов/приложений и смарт-контрактов/блокчейнов, охватывающая все аспекты, от последствий эксплуатации до требуемых привилегий и вероятности успешной эксплуатации.

Все сообщения об ошибках в веб-сайтах/приложениях должны сопровождаться PoC, чтобы быть рассмотренными для получения вознаграждения.

Ошибки, о которых сообщается в следующих аудитах, не могут быть вознаграждены:

SlowMist Аудит

CertiK Аудит

Выплаты осуществляются непосредственно командой Mars Ecosystem и деноминированы в долларах США. Однако выплаты производятся в XMS или BUSD, на усмотрение команды.

Смарт-контракты и блокчейн

  • Критическая До $60,000

  • Высокая $15,000

  • Средняя $5,000

  • Низкая $1,000

Веб-сайты и приложения

  • Критическая $10,000

  • Высокая $5,000

  • Средняя $1,000

Активы в зоне действия

Все смарт-контракты экосистемы Mars Ecosystem можно найти на сайте https://github.com/MarsEcosystem. Однако только те из них, которые указаны в таблице активов (Assets in Scope), считаются входящими в сферу действия программы вознаграждения за ошибки.

Воздействия в масштабе

В рамках данной программы "баг баунти" принимаются только следующие воздействия. Все остальные воздействия не считаются входящими в сферу применения, даже если они затрагивают что-то из активов, указанных в таблице сфер применения.

Смарт-контракты

  • Потеря средств пользователей в стейкинге (основной суммы), в результате замораживания или кражи

  • Потеря средств управления

  • Кража невостребованного дохода

  • Заморозка невостребованной доходности

  • Временная заморозка средств на любой срок

  • Невозможность вызова смарт-контракта

  • Проблемы с комиссиями смарт-контракта

  • Смарт-контракт не может обеспечить обещанную доходность

  • Манипуляция голосованием

  • Неправильные действия при голосовании

Веб/Приложение

  • Неправильное или непреднамеренное поведение, связанное с деньгами. (т.е. пользователь вводит 10 USDC в приложении, а на самом деле мы отправляем 100 USDC в смарт-контракт)

  • Мы указываем на неправильный смарт-контракт

  • Подделка межсайтового запроса (CSRF)

  • Межсайтовый скриптинг (XSS)

Приоритетные уязвимости

Мы особенно заинтересованы в получении и вознаграждении уязвимостей следующих типов:

Смарт-контракты и блокчейн

  • Re-entrancy

  • Логические ошибки,

    • включая ошибки аутентификации пользователя

  • Не учтены детали Solidity/EVM

    • включая целочисленные превышения/недополнения

    • включая ошибки округления

    • включая необработанные исключения

  • Уязвимости доверия/зависимости

    • включая уязвимости композитности

  • Сбой/манипуляция Oracle

  • Новые атаки на управление

  • Экономические/финансовые атаки,

    • включая атаки флэш-кредитованием

  • Перегруженность и масштабируемость,

    • включая нехватку газа,

    • включая забивание блоков,

    • включая восприимчивость к опережению

  • Сбои консенсуса

  • Проблемы криптографии

    • Модальность подписи

    • Подверженность атакам повторного воспроизведения

    • Слабая случайность

    • Слабое шифрование

  • Восприимчивость к манипуляциям с временной меткой блока

  • Отсутствие контроля доступа / незащищенные внутренние или отладочные интерфейсы

Веб-сайты и приложения

  • Удаленное выполнение кода

  • Уязвимости доверия/зависимости

  • Вертикальная эскалация привилегий

  • Инъекция внешних сущностей XML

  • Инъекция SQL

  • LFI/RFI

  • Горизонтальная эскалация привилегий

  • Хранимый XSS

  • Отражающий XSS с воздействием

  • CSRF с воздействием

  • Прямая ссылка на объект

  • Внутренний SSRF

  • Фиксация сессии

  • Небезопасная десериализация

  • DOM XSS

  • Неправильная конфигурация SSL

  • Проблемы SSL/TLS (слабая криптозащита, неправильная настройка)

  • Перенаправление URL

  • Clickjacking (должен сопровождаться PoC)

  • Вводящий в заблуждение текст Unicode (например, использование символов переопределения справа налево)

Вне сферы действия и правил

Следующие уязвимости исключены из вознаграждения по этой программе "bug bounty":

  • Атаки, которые репортер уже использовал сам, что привело к ущербу

  • Атаки, требующие доступа к утечке ключей/учетных данных

  • Атаки, требующие доступа к привилегированным адресам (руководство, стратег)

Смарт-контракты и блокчейн

  • Неверные данные, предоставленные сторонними оракулами

    • Не следует исключать манипуляции с оракулами/атаки флэш-кредитования

  • Атаки на базовое экономическое управление (например, атака 51%)

  • Отсутствие ликвидности

  • Критика лучших практик

  • Атаки Sybil

Веб-сайты и приложения

  • Теоретические уязвимости без каких-либо доказательств или демонстрации

  • Подмена содержимого / проблемы с инъекцией текста

  • Self-XSS

  • Обход капчи с помощью OCR

  • CSRF без влияния на безопасность (выход из системы CSRF, изменение языка и т.д.)

  • Отсутствующие заголовки безопасности HTTP (например, X-FRAME-OPTIONS) или флаги безопасности cookie (например, "httponly")

  • Раскрытие информации на стороне сервера, такой как IP-адреса, имена серверов и большинство трассировок стека.

  • Уязвимости, используемые для перечисления или подтверждения существования пользователей или арендаторов

  • Уязвимости, требующие маловероятных действий пользователя

  • Перенаправления URL (если только они не сочетаются с другой уязвимостью для создания более серьезной уязвимости).

  • Отсутствие лучших практик SSL/TLS

  • DDoS-уязвимости

  • Атаки, требующие привилегированного доступа изнутри организации

  • Запросы функций

  • Лучшие практики

Следующие действия запрещены данной программой "bug bounty":

  • Любое тестирование с контрактами mainnet или публичной тестовой сети; все тестирование должно проводиться в частных тестовых сетях

  • Любое тестирование с оракулами ценообразования или смарт-контрактами третьих сторон

  • Попытки фишинга или других социально-инженерных атак против наших сотрудников и/или клиентов

  • Любое тестирование с использованием сторонних систем и приложений (например, расширений для браузеров), а также веб-сайтов (например, провайдеров SSO, рекламных сетей)

  • Любые атаки на отказ в обслуживании

  • Автоматическое тестирование сервисов, генерирующее значительные объемы трафика

  • Публичное раскрытие непропатченной уязвимости в баунти, на которое наложено эмбарго

Last updated