ไทย

Bug Bounty

ภาพรวมโปรแกรม

ปัญหาพื้นฐานภายในโปรโตคอล stablecoin ในปัจจุบันส่วนใหญ่เป็นปัจจัยภายนอกที่เป็นบวก ต้นทุนในการผลิตและการรักษาเสถียรภาพเหรียญเกิดขึ้นจากโปรโตคอลและผู้ใช้ (minters, ผู้ถือหุ้น, ผู้ถือหุ้นกู้) ในขณะที่มูลค่าส่วนใหญ่มาจากการทำธุรกรรมของ stablecoin ภายใน DeFi primitives และถูกจับโดย DeFi primitives เหล่านี้

Mars Ecosystem แก้ปัญหานี้โดยบูรณาการการสร้างและการใช้ stablecoin เข้าไว้ในระบบนิเวศที่มีเสถียรภาพแต่กระจายอำนาจ ความสัมพันธ์ระหว่าง Mars Stablecoin และแพลตฟอร์ม Mars DeFi สร้างกระแสตอบรับเชิงบวกและสร้างเอฟเฟกต์มู่เล่

Mars Stablecoin (USDM) มีเสถียรภาพด้านราคา ประหยัดต้นทุน ปรับขนาดได้ และกระจายอำนาจ เป็นเหรียญที่มีความเสถียรสูง: ความสามารถในการแลกของ USDM ได้รับการสนับสนุนโดย Mars Ecosystem Governance Token (XMS) มูลค่าตามราคาตลาดของ XMS นั้นสูงกว่ามูลค่าตลาดของ Mars Stablecoin หลายเท่าเสมอ ซึ่งทำให้มั่นใจได้ว่าสามารถแลกเหรียญ stablecoin ได้ 1:1 ในเวลาใดก็ตาม

Mars Swap มอบสภาพคล่องระหว่าง Mars Stablecoin และโทเค็นอื่นๆ ทำให้ USDM เป็นสื่อกลางในการแลกเปลี่ยนและเก็บมูลค่าสำหรับ DeFi ค่าธรรมเนียมการทำธุรกรรมที่เกิดขึ้นที่ Mars Swap นั้นใช้เพื่อรักษาเสถียรภาพของ Mars Stablecoin

โปรแกรมหาบั๊กนี้เน้นที่สัญญาอัจฉริยะและแอพ และเน้นที่การป้องกันผลกระทบต่อไปนี้:

  • การโจรกรรมและการอายัดเงินต้นไม่ว่าจำนวนใดๆ

  • การโจรกรรมและการอายัดของผลผลิตที่ไม่มีการอ้างสิทธิ์ในจำนวนใด ๆ

  • การโจรกรรมกองทุนธรรมาภิบาล

  • การหยุดชะงักของกิจกรรมการกำกับดูแล

  • เข้าถึงหน้าที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต

  • สัญญาอัจฉริยะล้มเหลวในการส่งมอบผลตอบแทนตามสัญญาตามAPR

สามารถดูหน้าค่าหัวบั๊กของ Marecosystem ได้ที่:

https://immunefi.com/bounty/marsecosystem/

เมื่อแฮ็กเกอร์พบข้อผิดพลาด "ส่งรายงานข้อผิดพลาด" แฮกเกอร์จะถูกส่งไปยัง bugs.immunefi.com ซึ่งจะแนะนำพวกเขาตลอดกระบวนการสร้างรายงานข้อบกพร่อง

รางวัลตามระดับภัยคุกคาม

รางวัลจะแจกจ่ายตามผลกระทบของช่องโหว่ตาม Immunefi Vulnerability Severity Classification System นี่คือมาตราส่วน 5 ระดับที่เรียบง่าย โดยมีมาตราส่วนแยกสำหรับเว็บไซต์/แอป และสัญญาอัจฉริยะ/บล็อกเชน ซึ่งครอบคลุมทุกอย่างตั้งแต่ผลของการแสวงหาผลประโยชน์ไปจนถึงสิทธิพิเศษที่จำเป็นต่อความเป็นไปได้ของการเจาะช่องโหว่ที่ประสบความสำเร็จ

รายงานข้อบกพร่องของเว็บ/แอปทั้งหมดต้องมาพร้อมกับ PoC จึงจะถือว่าได้รับรางวัล

ข้อบกพร่องที่รายงานในการตรวจสอบต่อไปนี้ไม่มีสิทธิ์ได้รับรางวัล: การจ่ายเงินจะได้รับการจัดการโดยทีมงาน Mars Ecosystem โดยตรงและเป็นสกุลเงินดอลลาร์สหรัฐ อย่างไรก็ตาม การจ่ายเงินจะทำใน XMS หรือ BUSD ขึ้นอยู่กับดุลยพินิจของทีม

ข้อบกพร่องที่รายงานในการตรวจสอบต่อไปนี้ไม่มีสิทธิ์ได้รับรางวัล:

การจ่ายเงินจะได้รับการจัดการโดยทีมงาน Mars Ecosystem โดยตรงและเป็นสกุลเงินดอลลาร์สหรัฐ อย่างไรก็ตาม การจ่ายเงินจะทำใน XMS หรือ BUSD ขึ้นอยู่กับดุลยพินิจของทีม

Smart Contracts และ Blockchain

  • วิกฤต สูงถึง $60,000

  • สูง $15,000

  • ปานกลาง $5,000

  • ต่ำ $1,000

Websites และ Apps

  • วิกฤติ $10,000

  • สูง $5,000

  • ปานกลาง $1,000

สินทรัพย์ที่อยู่ในขอบเขต

สามารถดูสัญญาอัจฉริยะทั้งหมดของ Mars Ecosystem ได้ที่ https://github.com/MarsEcosystem. อย่างไรก็ตาม เฉพาะผู้ที่อยู่ในตารางสินทรัพย์ในขอบเขตเท่านั้นที่ถือว่าอยู่ในขอบเขตของโปรแกรมค่าหัวจุดบกพร่อง

ยอมรับเฉพาะผลกระทบต่อไปนี้ภายในโปรแกรมให้รางวัลจุดบกพร่องนี้ ผลกระทบอื่นๆ ทั้งหมดไม่ถือว่าอยู่ในขอบเขต แม้ว่าจะส่งผลกระทบต่อบางสิ่งในสินทรัพย์ในตารางขอบเขตก็ตาม

  • การสูญเสียเงิน stake ของผู้ใช้ (เงินต้น) โดยการแช่แข็งหรือถูกขโมย

  • การระงับของผลผลิตที่ไม่มีการอ้างสิทธิ์

  • การระงับเงินทุนชั่วคราวเป็นระยะเวลาเท่าใดก็ได้

  • ไม่สามารถเรียกสัญญาอัจฉริยะได้

  • การระบายน้ำก๊าซสัญญาอัจฉริยะ

  • สัญญาอัจฉริยะล้มเหลวในการให้ผลตอบแทนตามสัญญา

  • การดำเนินการเลือกตั้งที่ไม่ถูกต้อง

Web/App

  • พฤติกรรมที่ไม่ถูกต้องหรือไม่ได้ตั้งใจเกี่ยวกับเงิน (เช่น ข้อมูลที่ผู้ใช้ป้อนคือ 10 USDC ในแอป และจริงๆ แล้วเราจะส่ง 100 USDC ไปยังสัญญาอัจฉริยะ)

  • เรากำลังชี้ไปที่สัญญาอัจฉริยะที่ไม่ถูกต้อง

  • การปลอมแปลงคำขอข้ามไซต์ (CSRF) การเขียนสคริปต์ข้ามไซต์ (XSS)

ช่องโหว่ที่จัดลำดับความสำคัญ

เรามีความสนใจเป็นพิเศษในการรับและให้รางวัลกับช่องโหว่ประเภทต่อไปนี้:

Smart Contracts และ Blockchain

  • กลับเข้าใหม่

  • ลอจิกผิดพลาด

    • รวมถึงข้อผิดพลาดในการตรวจสอบสิทธิ์ผู้ใช้

  • Solidity/EVM det

    • รวมถึงจำนวนเต็ม over-/under-flow

    • รวมทั้งข้อผิดพลาดในการปัดเศษ

    • รวมถึงข้อยกเว้นที่ไม่สามารถจัดการได้

  • ช่องโหว่ด้านความน่าเชื่อถือ/การพึ่งพาที่เชื่อถือได้

    • รวมถึงช่องโหว่ความสามารถในการย่อยสลาย

  • Oracle ล้มเหลว / การจัดการ

  • การโจมตีทางเศรษฐกิจ/การเงิน

    • รวมถึงการโจมตีด้วยสินเชื่อแฟลช

  • ความแออัดและความสามารถในการปรับขนาด

    • รวมทั้ง gas หมด

    • รวมไปถึงความอ่อนไหวต่อ frontrun

    • ความไวต่อการโจมตีซ้ำ

  • ความอ่อนแอในการบล็อกการจัดการการประทับเวลา

  • ไม่มีการควบคุมการเข้าถึง / อินเทอร์เฟซภายในหรือการดีบักที่ไม่มีการป้องกัน

Websites และ Apps

  • การดำเนินการโค้ดจากระยะไกล

  • ช่องโหว่ด้านความน่าเชื่อถือ/การพึ่งพาที่เชื่อถือได้

  • การยกระดับสิทธิ์ในแนวตั้ง การฉีดเอนทิตีภายนอก XML

  • การฉีด SQL

  • LFI/RFI

  • การยกระดับสิทธิ์ในแนวนอน

  • XSS ที่เก็บไว้

  • XSS สะท้อนแสงพร้อมแรงกระแทก

  • CSRF ที่มีผลกระทบ

  • ภายใน SSRF

  • การแก้ไขเซสชัน

  • การดีซีเรียลไลซ์เซชั่นที่ไม่ปลอดภัย

  • DOM XSS

  • การกำหนดค่า SSL ผิดพลาด

  • ปัญหา SSL/TLS (การเข้ารหัสที่อ่อนแอ การตั้งค่าที่ไม่เหมาะสม)

  • การเปลี่ยนเส้นทาง URL

  • Clickjacking (ต้องมาพร้อมกับ PoC)

  • ข้อความ Unicode ที่ทำให้เข้าใจผิด (เช่น การใช้อักขระแทนที่จากขวาไปซ้าย)

อยู่นอกขอบเขตและกฎเกณฑ์

ช่องโหว่ต่อไปนี้ไม่รวมอยู่ในรางวัลสำหรับโปรแกรมรางวัลบั๊กนี้:

  • การจู่โจมที่นักข่าวใช้เองจนก่อให้เกิดความเสียหาย

  • การโจมตีที่ต้องเข้าถึงกุญแจ/ข้อมูลรับรองที่รั่วไหล

  • การโจมตีที่ต้องการการเข้าถึงที่อยู่ที่มีสิทธิพิเศษ (การกำกับดูแล นักยุทธศาสตร์)

Smart Contracts and Blockchain

  • ข้อมูลที่ไม่ถูกต้องจัดทำโดย oracles บุคคลที่สาม

    • ไม่แยกการจัดการ oracle / การโจมตี flash loan

  • การโจมตีการกำกับดูแลเศรษฐกิจขั้นพื้นฐาน (เช่น การโจมตี 51%)

  • ขาดสภาพคล่อง

  • คำติชมแนวปฏิบัติที่ดีที่สุด

  • การโจมตีซีบิล

Websites and Apps

  • ช่องโหว่ทางทฤษฎีโดยไม่มีการพิสูจน์หรือการสาธิตใดๆ

  • ปัญหาการปลอมแปลงเนื้อหา / ปัญหาการแทรกข้อความ

  • Self-XSS

  • บายพาส Captcha โดยใช้OCR

  • CSRF ที่ไม่มีผลกระทบต่อความปลอดภัย (ออกจากระบบ CSRF, เปลี่ยนภาษา ฯลฯ)

  • ไม่มีส่วนหัวความปลอดภัย HTTP (เช่น X-FRAME-OPTIONS) หรือแฟล็กความปลอดภัยของคุกกี้ (เช่น “http เท่านั้น”)

  • การเปิดเผยข้อมูลฝั่งเซิร์ฟเวอร์ เช่น IP ชื่อเซิร์ฟเวอร์ และสแต็กเทรซส่วนใหญ่

  • ช่องโหว่ที่ใช้ในการระบุหรือยืนยันการมีอยู่ของผู้ใช้หรือผู้เช่า

  • ช่องโหว่ที่ต้องดำเนินการโดยผู้ใช้ที่ไม่น่าจะเป็นไปได้

  • การเปลี่ยนเส้นทาง URL (เว้นแต่จะรวมกับช่องโหว่อื่นเพื่อสร้างช่องโหว่ที่รุนแรงมากขึ้น)

  • ขาดแนวทางปฏิบัติที่ดีที่สุดสำหรับ SSL/TLS

  • ช่องโหว่ DDoS

  • การโจมตีที่ต้องการการเข้าถึงแบบมีสิทธิพิเศษจากภายในองค์กร

  • คำขอคุณสมบัติ

  • ปฏิบัติที่ดีที่สุด

กิจกรรมต่อไปนี้เป็นสิ่งต้องห้ามโดยโปรแกรมรางวัลบั๊กนี้:

  • การทดสอบใดๆ กับ mainnet หรือสัญญา testnet สาธารณะ การทดสอบทั้งหมดควรทำบนเครือข่ายทดสอบส่วนตัว

  • การทดสอบใด ๆ กับ oracles การกำหนดราคาหรือสัญญาอัจฉริยะของบุคคลที่สาม

  • การพยายามฟิชชิ่งหรือการโจมตีทางวิศวกรรมสังคมอื่นๆ ต่อพนักงานและ/หรือลูกค้าของเรา

  • การทดสอบใดๆ กับระบบและแอปพลิเคชันของบุคคลที่สาม (เช่น ส่วนขยายเบราว์เซอร์) รวมถึงเว็บไซต์ (เช่น ผู้ให้บริการ SSO เครือข่ายโฆษณา)

  • การปฏิเสธการโจมตีบริการใดๆ

  • การทดสอบบริการอัตโนมัติที่สร้างการเข้าชมจำนวนมาก

  • การเปิดเผยช่องโหว่ที่ยังไม่ได้แก้ไขในค่าหัวที่ถูกคว่ำบาตร

PreviousAuditsNextInvestors

Last updated