# Баг баунти ## Обзор программы Фундаментальной проблемой большинства существующих протоколов стабильных монет является положительная экстернальность. Затраты на производство и поддержание стабильных монет несут протокол и его пользователи (майнеры, акционеры, держатели облигаций). В то время как большая часть стоимости поступает от транзакций со стейблкоинами в рамках примитивов DeFi и фиксируется этими примитивами DeFi. Экосистема Mars решает эту проблему, объединяя создание и использование стейблкоина в одну стабильную, но децентрализованную экосистему. Взаимосвязь между Mars Stablecoin и платформой Mars DeFi создает петлю положительной обратной связи и порождает эффект маховика. Mars Stablecoin (USDM) стабилен по цене, эффективен с точки зрения капитала, масштабируем и децентрализован. Это стабильный токен с избыточным обеспечением: возможность погашения USDM обеспечена токеном управления экосистемой Mars (XMS). Рыночная стоимость XMS всегда в несколько раз превышает рыночную стоимость Mars Stablecoin, что гарантирует, что в любой момент времени стейблкоин может быть выкуплен 1:1. Mars Swap обеспечивает ликвидность между Mars Stablecoin и всеми другими токенами, делая USDM идеальным средством обмена и хранилищем стоимости для DeFi. Понесенные транзакционные сборы, генерируемые в Mars Swap, используются для поддержания стабильности Mars Stablecoin. Эта программа исправления ошибок сосредоточена на их смарт-контрактах и приложении и направлена на предотвращение следующих последствийs:bulb:: * Кражи и замораживание основной суммы долга в любом размере * Кражи и замораживание невостребованного дохода в любом размере * Хищение средств управления * Нарушение деятельности управления * Неисправности веб-сайта * Утечка пользовательских данных * Удаление данных пользователя * Доступ к конфиденциальным страницам без авторизации * Смарт-контракты не могут обеспечить обещанный доход на основе APR Все сообщения об ошибках должны проходить через процесс отправки сообщений Immunefi на [cтранице баг баунти Mars Ecosystem](https://immunefi.com/bounty/marsecosystem/) Страницу вознаграждения за баги Marecosystem можно посмотреть по адресу: Когда хакер нажмет кнопку "Отправить сообщение об ошибке", он попадет на сайт , который проведет его через весь процесс создания сообщения об ошибке. ### #### Вознаграждения по уровню угрозы Вознаграждения распределяются в зависимости от степени воздействия уязвимости на основе системы [классификации серьезности уязвимостей Immunefi](https://immunefi.com/severity-updated/). Это упрощенная 5-уровневая шкала, с отдельными шкалами для веб-сайтов/приложений и смарт-контрактов/блокчейнов, охватывающая все аспекты, от последствий эксплуатации до требуемых привилегий и вероятности успешной эксплуатации. Все сообщения об ошибках в веб-сайтах/приложениях должны сопровождаться PoC, чтобы быть рассмотренными для получения вознаграждения. #### Ошибки, о которых сообщается в следующих аудитах, не могут быть вознаграждены: [SlowMist Аудит](https://github.com/MarsEcosystem/mars-resource/blob/master/audit/SlowMist%20Audit%20Report%20-%20Mars%20Ecosystem%20-%20EN.pdf) [CertiK Аудит ](https://github.com/MarsEcosystem/mars-resource/blob/master/audit/Certik%20Audit%20Report%20-%20Mars%20Ecosystem.pdf) Выплаты осуществляются непосредственно командой Mars Ecosystem и деноминированы в долларах США. Однако выплаты производятся в XMS или BUSD, на усмотрение команды. #### Смарт-контракты и блокчейн * Критическая До $60,000 * Высокая $15,000 * Средняя $5,000 * Низкая $1,000 **Веб-сайты и приложения** * Критическая $10,000 * Высокая $5,000 * Средняя $1,000 ### ## Активы в зоне действия Все смарт-контракты экосистемы Mars Ecosystem можно найти на сайте . Однако только те из них, которые указаны в таблице активов (Assets in Scope), считаются входящими в сферу действия программы вознаграждения за ошибки. #### Воздействия в масштабе В рамках данной программы "баг баунти" принимаются только следующие воздействия. Все остальные воздействия не считаются входящими в сферу применения, даже если они затрагивают что-то из активов, указанных в таблице сфер применения. **Смарт-контракты** * Потеря средств пользователей в стейкинге (основной суммы), в результате замораживания или кражи * Потеря средств управления * Кража невостребованного дохода * Заморозка невостребованной доходности * Временная заморозка средств на любой срок * Невозможность вызова смарт-контракта * Проблемы с комиссиями смарт-контракта * Смарт-контракт не может обеспечить обещанную доходность * Манипуляция голосованием * Неправильные действия при голосовании **Веб/Приложение** * Неправильное или непреднамеренное поведение, связанное с деньгами. (т.е. пользователь вводит 10 USDC в приложении, а на самом деле мы отправляем 100 USDC в смарт-контракт) * Мы указываем на неправильный смарт-контракт * Подделка межсайтового запроса (CSRF) * Межсайтовый скриптинг (XSS) ### ## **Приоритетные уязвимости** Мы особенно заинтересованы в получении и вознаграждении уязвимостей следующих типов: **Смарт-контракты и блокчейн** * Re-entrancy * Логические ошибки, * включая ошибки аутентификации пользователя * Не учтены детали Solidity/EVM * включая целочисленные превышения/недополнения * включая ошибки округления * включая необработанные исключения * Уязвимости доверия/зависимости * включая уязвимости композитности * Сбой/манипуляция Oracle * Новые атаки на управление * Экономические/финансовые атаки, * включая атаки флэш-кредитованием * Перегруженность и масштабируемость, * включая нехватку газа, * включая забивание блоков, * включая восприимчивость к опережению * Сбои консенсуса * Проблемы криптографии * Модальность подписи * Подверженность атакам повторного воспроизведения * Слабая случайность * Слабое шифрование * Восприимчивость к манипуляциям с временной меткой блока * Отсутствие контроля доступа / незащищенные внутренние или отладочные интерфейсы **Веб-сайты и приложения** * Удаленное выполнение кода * Уязвимости доверия/зависимости * Вертикальная эскалация привилегий * Инъекция внешних сущностей XML * Инъекция SQL * LFI/RFI * Горизонтальная эскалация привилегий * Хранимый XSS * Отражающий XSS с воздействием * CSRF с воздействием * Прямая ссылка на объект * Внутренний SSRF * Фиксация сессии * Небезопасная десериализация * DOM XSS * Неправильная конфигурация SSL * Проблемы SSL/TLS (слабая криптозащита, неправильная настройка) * Перенаправление URL * Clickjacking (должен сопровождаться PoC) * Вводящий в заблуждение текст Unicode (например, использование символов переопределения справа налево) ## Вне сферы действия и правил #### Следующие уязвимости исключены из вознаграждения по этой программе "bug bounty": * Атаки, которые репортер уже использовал сам, что привело к ущербу * Атаки, требующие доступа к утечке ключей/учетных данных * Атаки, требующие доступа к привилегированным адресам (руководство, стратег) **Смарт-контракты и блокчейн** * Неверные данные, предоставленные сторонними оракулами * Не следует исключать манипуляции с оракулами/атаки флэш-кредитования * Атаки на базовое экономическое управление (например, атака 51%) * Отсутствие ликвидности * Критика лучших практик * Атаки Sybil **Веб-сайты и приложения** * Теоретические уязвимости без каких-либо доказательств или демонстрации * Подмена содержимого / проблемы с инъекцией текста * Self-XSS * Обход капчи с помощью OCR * CSRF без влияния на безопасность (выход из системы CSRF, изменение языка и т.д.) * Отсутствующие заголовки безопасности HTTP (например, X-FRAME-OPTIONS) или флаги безопасности cookie (например, "httponly") * Раскрытие информации на стороне сервера, такой как IP-адреса, имена серверов и большинство трассировок стека. * Уязвимости, используемые для перечисления или подтверждения существования пользователей или арендаторов * Уязвимости, требующие маловероятных действий пользователя * Перенаправления URL (если только они не сочетаются с другой уязвимостью для создания более серьезной уязвимости). * Отсутствие лучших практик SSL/TLS * DDoS-уязвимости * Атаки, требующие привилегированного доступа изнутри организации * Запросы функций * Лучшие практики #### Следующие действия запрещены данной программой "bug bounty": * Любое тестирование с контрактами mainnet или публичной тестовой сети; все тестирование должно проводиться в частных тестовых сетях * Любое тестирование с оракулами ценообразования или смарт-контрактами третьих сторон * Попытки фишинга или других социально-инженерных атак против наших сотрудников и/или клиентов * Любое тестирование с использованием сторонних систем и приложений (например, расширений для браузеров), а также веб-сайтов (например, провайдеров SSO, рекламных сетей) * Любые атаки на отказ в обслуживании * Автоматическое тестирование сервисов, генерирующее значительные объемы трафика * Публичное раскрытие непропатченной уязвимости в баунти, на которое наложено эмбарго