Mars Ecosystem
中文
搜索
⌃K

漏洞悬赏计划

项目概述

Mars Ecosystem是一个全新的去中心化稳定币范式,它将稳定币的创造和使用整合到同一个系统中。
Mars Ecosystem由Mars金库、Mars稳定币和Mars DeFi协议三个部分组成,它们共同组成了一个正反馈循环。
Mars稳定币具有价格稳定、资本使用率高、可扩展性强、去中心化等特点。
Mars Ecosystem的目标是建造DeFi世界的中央银行和储备货币。
本悬赏计划重点关注所有智能合约和网站程序,并专注于以下影响💡:
  • 用户本金被盗或被冻结
  • 未领取的奖励被盗或被冻结
  • 治理基金被盗
  • 治理系统遭到破坏
  • 网站无法访问
  • 用户数据泄露
  • 用户数据被删除
  • 未经授权访问敏感页面
  • 智能合约未能根据APR 给予回报
所有漏洞必须通过 immuefi 来提交。

漏洞等级及对应奖励

本计划奖励基于Immunefi Vulnerability Severity Classification System进行分配。这是一个简化的表单,对网站/app/智能合约分别定义了分级策略,包括漏洞影响、权限执行、以及危害可能性的所有内容。
所有网站/App漏洞报告必须附带 PoC 才能获得奖励。
以下审计报告中的错误不会获得奖励:
奖金由Marsecosystem团队进行支付,并以美元计价。酌情以XMS或USDT支付。

智能合约

严重 最高 60,000 美元
高危 15,500 美元
中危 5,000 美元
低危 1,000 美元

网站和App

严重 10,000 美元
高危 5,000 美元
中危 1,000 美元

漏洞涵盖范围

Mars Ecosystem所有智能合约都可以在https://github.com/MarsEcosystem上找到。只在下列规定的漏洞才被视为漏洞悬赏计划的范围内。

影响范围

本漏洞悬赏计划仅接受以下影响。所有其他影响都不被视为在悬赏范围内。

智能合约

  • 因冻结或盗窃而损失用户本金
  • 治理资金丢失
  • 盗窃未领取的收益
  • 冻结未领取的收益
  • 临时冻结用户本金
  • 无法调用智能合约
  • 智能合约gas用尽
  • 智能合约未能达到规定的回报
  • 投票可被操纵
  • 错误的投票
网页/App
  • 与资金有关的任何错误或不符合预期的行为。(举例:用户在app上输入 10 USDC,我们实际上向智能合约发送了 100 USDC)
  • 调用了错误的智能合约
  • 跨站请求伪造(CSRF)
  • 跨站脚本攻击(XSS)

优先关注漏洞

我们优先关注以下类型的漏洞:

智能合约和区块链

  • 重入攻击
  • 逻辑错误
  • 包括用户身份验证错误
  • 不考虑 Solidity/EVM 细节
  • 包括整数溢出/下溢
  • 包括舍入误差
  • 包括未处理的异常
  • 信任/依赖漏洞
  • 包括可组合性漏洞
  • Oracle 故障/操作
  • 新型治理攻击
  • 经济/金融攻击
  • 包括闪电贷攻击
  • 堵塞和可扩展性
  • 包括gas溢出问题
  • 包括区块堵塞问题
  • 包括对抢先交易的敏感性
  • 共识失败
  • 密码学问题
  • 签名延展性
  • 重放攻击敏感性
  • 弱随机性
  • 弱加密
  • 时间戳操纵敏感性
  • 缺少访问控制/未受保护的内部调试接口

网站和App

  • 远程代码执行
  • 信任/依赖漏洞
  • 垂直提权
  • XML 外部注入
  • SQL注入
  • 低频干扰/射频干扰
  • 水平提权
  • 存储型 XSS
  • 具有影响的反射型 XSS
  • 具有影响力的 CSRF
  • 直接对象引用
  • 内部SSRF
  • 会话固定
  • 不安全的反序列化
  • DOM XSS
  • SSL 错误配置
  • SSL/TLS 问题(弱加密、不正确的设置)
  • 网址重定向
  • 点击劫持(必须提供 PoC)
  • 误导性的 Unicode 文本(例如使用从右到左覆盖的字符)

超出范围和规则

本悬赏计划不包含以下类型的漏洞

  • 利用已经报告的漏洞发起的攻击
  • 使用已泄露的密钥/凭证发起的攻击
  • 使用特权地址的攻击(包括治理、策略等)
智能合约和区块链
  • 第三方预言机提供的数据不正确
  • 不排除预言机操纵/闪电贷攻击
  • 基本的治理攻击(例如 51% 攻击)
  • 缺乏流动性
  • 最优实现方式
  • 女巫攻击
网站和应用程序
  • 没有任何证据或证明的理论漏洞
  • 内容欺骗/文本注入问题
  • 自XSS
  • 使用 OCR 绕过验证码
  • 没有安全影响的 CSRF(注销 CSRF、更改语言等)
  • 缺少 HTTP 安全标头(例如 X-FRAME-OPTIONS)或 cookie 安全标志(例如“httponly”)
  • 服务器端信息泄露,例如 IP、服务器名称和大多数堆栈跟踪
  • 用于枚举或确认用户或账户存在的漏洞
  • 不太可能的用户操作的漏洞
  • URL重定向(除非与另一个漏洞结合产生更严重的漏洞)
  • 缺乏 SSL/TLS 最佳实践
  • DDoS 漏洞
  • 需要从组织内部进行特权访问的攻击
  • 功能请求
  • 最优实现方式

本漏洞悬赏计划严禁以下活动:

  • 任何使用主网或公共测试网合约的测试;所有测试都应在私有测试网上进行
  • 任何使用定价预言机或第三方智能合约的测试
  • 试图对我们的员工和/或用户进行网络钓鱼或其他社会工程攻击
  • 对第三方系统和应用程序(例如,浏览器插件)以及网站(例如,SSO 提供商、广告网络)进行的任何测试
  • 任何拒绝服务攻击
  • 自动测试产生大量流量的服务
  • 公开披露悬赏中未修补的漏洞