漏洞悬赏计划
Mars Ecosystem是一个全新的去中心化稳定币范式,它将稳定币的创造和使用整合到同一个系统中。
Mars Ecosystem由Mars金库、Mars稳定币和Mars DeFi协议三个部分组成,它们共同组成了一个正反馈循环。
Mars稳定币具有价格稳定、资本使用率高、可扩展性强、去中心化等特点。
Mars Ecosystem的目标是建造DeFi世界的中央银行和储备货币。
本悬赏计划重点关注所有智能合约和网站程序,并专注于以下影响💡:
- 用户本金被盗或被冻结
- 未领取的奖励被盗或被冻结
- 治理基金被盗
- 治理系统遭到破坏
- 网站无法访问
- 用户数据泄露
- 用户数据被删除
- 未经授权访问敏感页面
- 智能合约未能根据APR 给予回报
本计划奖励基于Immunefi Vulnerability Severity Classification System进行分配。这是一个简化的表单,对网站/app/智能合约分别定义了分级策略,包括漏洞影响、权限执行、以及危害可能性的所有内容。
所有网站/App漏洞报告必须附带 PoC 才能获得奖励。
以下审计报告中的错误不会获得奖励:
奖金由Marsecosystem团队进行支付,并以美元计价。酌情以XMS或USDT支付。
严重 最高 60,000 美元
高危 15,500 美元
中危 5,000 美元
低危 1,000 美元
严重 10,000 美元
高危 5,000 美元
中危 1,000 美元
本漏洞悬赏计划仅接受以下影响。所有其他影响 都不被视为在悬赏范围内。
- 因冻结或盗窃而损失用户本金
- 治理资金丢失
- 盗窃未领取的收益
- 冻结未领取的收益
- 临时冻结用户本金
- 无法调用智能合约
- 智能合约gas用尽
- 智能合约未能达到规定的回报
- 投票可被操纵
- 错误的投票
网页/App
- 与资金有关的任何错误或不符合预期的行为。(举例:用户在app上输入 10 USDC,我们实际上向智能合约发送了 100 USDC)
- 调用了错误的智能合约
- 跨站请求伪造(CSRF)
- 跨站脚本攻击(XSS)
我们优先关注以下类型的漏洞:
- 重入攻击
- 逻辑错误
- 包括用户身份验证错误
- 不考虑 Solidity/EVM 细节
- 包括整数溢出/下溢
- 包括舍入误差
- 包括未处理的异常
- 信任/依赖漏洞
- 包括可组合性漏洞
- Oracle 故障/操作
- 新型治理攻击
- 经济/金融攻击
- 包括闪电贷攻击
- 堵塞和可扩展性
- 包括gas溢出问题
- 包括区块堵塞问题
- 包括对抢先交易的敏感性
- 共识失败
- 密码学问题
- 签名延展性
- 重放攻击敏感性
- 弱随机性
- 弱加密
- 时间戳操纵敏感性
- 缺少访问控制/未受保护的内部调试接口
- 远程代码执行
- 信任/依赖漏洞
- 垂直提权
- XML 外部注入
- SQL注入
- 低频干扰/射频干扰
- 水平提权
- 存储型 XSS
- 具有影响的反射型 XSS
- 具有影响力的 CSRF
- 直接对象引用
- 内部SSRF
- 会话固定
- 不安全的反序列化
- DOM XSS
- SSL 错误配置
- SSL/TLS 问题(弱加密、不正确的设置)
- 网址重定向
- 点击劫持(必须提供 PoC)
- 误导性的 Unicode 文本(例如使用从右到左覆盖的字符)
- 利用已经报告的漏洞发起的攻击
- 使用已泄露的密钥/凭证发 起的攻击
- 使用特权地址的攻击(包括治理、策略等)
智能合约和区块链
- 第三方预言机提供的数据不正确
- 不排除预言机操纵/闪电贷攻击
- 基本的治理攻击(例如 51% 攻击)
- 缺乏流动性
- 最优实现方式
- 女巫攻击
网站和应用程序
- 没有任何证据或证明的理论漏洞
- 内容欺骗/文本注入问题
- 自XSS
- 使用 OCR 绕过验证码
- 没有安全影响的 CSRF(注销 CSRF、更改语言等)
- 缺少 HTTP 安全标头(例如 X-FRAME-OPTIONS)或 cookie 安全标志(例如“httponly”)
- 服务器端信息泄露,例如 IP、服务器名称和大多数堆栈跟踪
- 用于枚举或确认用户或账户存在的漏洞
- 不太可能的用户操作的漏洞
- URL重定向(除非与另一个漏洞结合产生更严重的漏洞)
- 缺乏 SSL/TLS 最佳实践
- DDoS 漏洞
- 需要从组织内部进行特权访问的攻击
- 功能请求
- 最优实现方式
- 任何使用主网或公共测试网合约的测试;所有测试都应在私有测试网上进行
- 任何使用定价预言机或第三方智能合约的测试
- 试图对我们的员工和/或用户进行网络钓鱼或其他社会工程攻击
- 对第三方系统和应用程序(例如,浏览器插件)以及网站(例如,SSO 提供商、广告网络)进行的任何测试
- 任何拒绝服务攻击
- 自动测试产生大量流量的服务
- 公开披露悬赏中未修补的漏洞
最近更新 1yr ago