# 漏洞悬赏计划 ## **项目概述** Mars Ecosystem是一个全新的去中心化稳定币范式,它将稳定币的创造和使用整合到同一个系统中。 Mars Ecosystem由Mars金库、Mars稳定币和Mars DeFi协议三个部分组成,它们共同组成了一个正反馈循环。 Mars稳定币具有价格稳定、资本使用率高、可扩展性强、去中心化等特点。 Mars Ecosystem的目标是建造DeFi世界的中央银行和储备货币。 本悬赏计划重点关注所有智能合约和网站程序,并专注于以下影响💡: * 用户本金被盗或被冻结 * 未领取的奖励被盗或被冻结 * 治理基金被盗 * 治理系统遭到破坏 * 网站无法访问 * 用户数据泄露 * 用户数据被删除 * 未经授权访问敏感页面 * 智能合约未能根据APR 给予回报 **所有漏洞必须通过** [**immuefi**](https://immunefi.com/bounty/marsecosystem) **来提交。** ## **漏洞等级及对应奖励** 本计划奖励基于[Immunefi Vulnerability Severity Classification System](https://immunefi.com/severity-updated/)进行分配。这是一个简化的表单,对网站/app/智能合约分别定义了分级策略,包括漏洞影响、权限执行、以及危害可能性的所有内容。 所有网站/App漏洞报告必须附带 PoC 才能获得奖励。 **以下审计报告中的错误不会获得奖励:** [慢雾审计 ](https://github.com/MarsEcosystem/mars-resource/blob/master/audit/SlowMist%20Audit%20Report%20-%20Mars%20Ecosystem%20-%20EN.pdf) [CertiK审计 ](https://github.com/MarsEcosystem/mars-resource/blob/master/audit/Certik%20Audit%20Report%20-%20Mars%20Ecosystem.pdf) *奖金由Marsecosystem团队进行支付,并以美元计价。酌情以XMS或USDT支付。* ### **智能合约** 严重 最高 60,000 美元 高危 15,500 美元 中危 5,000 美元 低危 1,000 美元 ### **网站和App** 严重 10,000 美元 高危 5,000 美元 中危 1,000 美元 ### **漏洞涵盖范围** **Mars Ecosystem**所有智能合约都可以在上找到。只在下列规定的漏洞才被视为漏洞悬赏计划的范围内。 ### **影响范围** 本漏洞悬赏计划仅接受以下影响。所有其他影响都不被视为在悬赏范围内。 #### **智能合约** * 因冻结或盗窃而损失用户本金 * 治理资金丢失 * 盗窃未领取的收益 * 冻结未领取的收益 * 临时冻结用户本金 * 无法调用智能合约 * 智能合约gas用尽 * 智能合约未能达到规定的回报 * 投票可被操纵 * 错误的投票 **网页/App** * 与资金有关的任何错误或不符合预期的行为。(举例:用户在app上输入 10 USDC,我们实际上向智能合约发送了 100 USDC) * 调用了错误的智能合约 * 跨站请求伪造(CSRF) * 跨站脚本攻击(XSS) ## **优先关注漏洞** 我们优先关注以下类型的漏洞: ### **智能合约和区块链** * 重入攻击 * 逻辑错误 * 包括用户身份验证错误 * 不考虑 Solidity/EVM 细节 * 包括整数溢出/下溢 * 包括舍入误差 * 包括未处理的异常 * 信任/依赖漏洞 * 包括可组合性漏洞 * Oracle 故障/操作 * 新型治理攻击 * 经济/金融攻击 * 包括闪电贷攻击 * 堵塞和可扩展性 * 包括gas溢出问题 * 包括区块堵塞问题 * 包括对抢先交易的敏感性 * 共识失败 * 密码学问题 * 签名延展性 * 重放攻击敏感性 * 弱随机性 * 弱加密 * 时间戳操纵敏感性 * 缺少访问控制/未受保护的内部调试接口 ### **网站和App** * 远程代码执行 * 信任/依赖漏洞 * 垂直提权 * XML 外部注入 * SQL注入 * 低频干扰/射频干扰 * 水平提权 * 存储型 XSS * 具有影响的反射型 XSS * 具有影响力的 CSRF * 直接对象引用 * 内部SSRF * 会话固定 * 不安全的反序列化 * DOM XSS * SSL 错误配置 * SSL/TLS 问题(弱加密、不正确的设置) * 网址重定向 * 点击劫持(必须提供 PoC) * 误导性的 Unicode 文本(例如使用从右到左覆盖的字符) ## **超出范围和规则** #### **本悬赏计划不包含以下类型的漏洞**: * 利用已经报告的漏洞发起的攻击 * 使用已泄露的密钥/凭证发起的攻击 * 使用特权地址的攻击(包括治理、策略等) **智能合约和区块链** * 第三方预言机提供的数据不正确 * 不排除预言机操纵/闪电贷攻击 * 基本的治理攻击(例如 51% 攻击) * 缺乏流动性 * 最优实现方式 * 女巫攻击 **网站和应用程序** * 没有任何证据或证明的理论漏洞 * 内容欺骗/文本注入问题 * 自XSS * 使用 OCR 绕过验证码 * 没有安全影响的 CSRF(注销 CSRF、更改语言等) * 缺少 HTTP 安全标头(例如 X-FRAME-OPTIONS)或 cookie 安全标志(例如“httponly”) * 服务器端信息泄露,例如 IP、服务器名称和大多数堆栈跟踪 * 用于枚举或确认用户或账户存在的漏洞 * 不太可能的用户操作的漏洞 * URL重定向(除非与另一个漏洞结合产生更严重的漏洞) * 缺乏 SSL/TLS 最佳实践 * DDoS 漏洞 * 需要从组织内部进行特权访问的攻击 * 功能请求 * 最优实现方式 ## **本漏洞悬赏计划严禁以下活动:** * 任何使用主网或公共测试网合约的测试;所有测试都应在私有测试网上进行 * 任何使用定价预言机或第三方智能合约的测试 * 试图对我们的员工和/或用户进行网络钓鱼或其他社会工程攻击 * 对第三方系统和应用程序(例如,浏览器插件)以及网站(例如,SSO 提供商、广告网络)进行的任何测试 * 任何拒绝服务攻击 * 自动测试产生大量流量的服务 * 公开披露悬赏中未修补的漏洞