# 漏洞悬赏计划 ## **项目概述** Mars Ecosystem是一个全新的去中心化稳定币范式,它将稳定币的创造和使用整合到同一个系统中。 Mars Ecosystem由Mars金库、Mars稳定币和Mars DeFi协议三个部分组成,它们共同组成了一个正反馈循环。 Mars稳定币具有价格稳定、资本使用率高、可扩展性强、去中心化等特点。 Mars Ecosystem的目标是建造DeFi世界的中央银行和储备货币。 本悬赏计划重点关注所有智能合约和网站程序,并专注于以下影响💡: * 用户本金被盗或被冻结 * 未领取的奖励被盗或被冻结 * 治理基金被盗 * 治理系统遭到破坏 * 网站无法访问 * 用户数据泄露 * 用户数据被删除 * 未经授权访问敏感页面 * 智能合约未能根据APR 给予回报 **所有漏洞必须通过** [**immuefi**](https://immunefi.com/bounty/marsecosystem) **来提交。** ## **漏洞等级及对应奖励** 本计划奖励基于[Immunefi Vulnerability Severity Classification System](https://immunefi.com/severity-updated/)进行分配。这是一个简化的表单,对网站/app/智能合约分别定义了分级策略,包括漏洞影响、权限执行、以及危害可能性的所有内容。 所有网站/App漏洞报告必须附带 PoC 才能获得奖励。 **以下审计报告中的错误不会获得奖励:** [慢雾审计 ](https://github.com/MarsEcosystem/mars-resource/blob/master/audit/SlowMist%20Audit%20Report%20-%20Mars%20Ecosystem%20-%20EN.pdf) [CertiK审计 ](https://github.com/MarsEcosystem/mars-resource/blob/master/audit/Certik%20Audit%20Report%20-%20Mars%20Ecosystem.pdf) *奖金由Marsecosystem团队进行支付,并以美元计价。酌情以XMS或USDT支付。* ### **智能合约** 严重 最高 60,000 美元 高危 15,500 美元 中危 5,000 美元 低危 1,000 美元 ### **网站和App** 严重 10,000 美元 高危 5,000 美元 中危 1,000 美元 ### **漏洞涵盖范围** **Mars Ecosystem**所有智能合约都可以在上找到。只在下列规定的漏洞才被视为漏洞悬赏计划的范围内。 ### **影响范围** 本漏洞悬赏计划仅接受以下影响。所有其他影响都不被视为在悬赏范围内。 #### **智能合约** * 因冻结或盗窃而损失用户本金 * 治理资金丢失 * 盗窃未领取的收益 * 冻结未领取的收益 * 临时冻结用户本金 * 无法调用智能合约 * 智能合约gas用尽 * 智能合约未能达到规定的回报 * 投票可被操纵 * 错误的投票 **网页/App** * 与资金有关的任何错误或不符合预期的行为。(举例:用户在app上输入 10 USDC,我们实际上向智能合约发送了 100 USDC) * 调用了错误的智能合约 * 跨站请求伪造(CSRF) * 跨站脚本攻击(XSS) ## **优先关注漏洞** 我们优先关注以下类型的漏洞: ### **智能合约和区块链** * 重入攻击 * 逻辑错误 * 包括用户身份验证错误 * 不考虑 Solidity/EVM 细节 * 包括整数溢出/下溢 * 包括舍入误差 * 包括未处理的异常 * 信任/依赖漏洞 * 包括可组合性漏洞 * Oracle 故障/操作 * 新型治理攻击 * 经济/金融攻击 * 包括闪电贷攻击 * 堵塞和可扩展性 * 包括gas溢出问题 * 包括区块堵塞问题 * 包括对抢先交易的敏感性 * 共识失败 * 密码学问题 * 签名延展性 * 重放攻击敏感性 * 弱随机性 * 弱加密 * 时间戳操纵敏感性 * 缺少访问控制/未受保护的内部调试接口 ### **网站和App** * 远程代码执行 * 信任/依赖漏洞 * 垂直提权 * XML 外部注入 * SQL注入 * 低频干扰/射频干扰 * 水平提权 * 存储型 XSS * 具有影响的反射型 XSS * 具有影响力的 CSRF * 直接对象引用 * 内部SSRF * 会话固定 * 不安全的反序列化 * DOM XSS * SSL 错误配置 * SSL/TLS 问题(弱加密、不正确的设置) * 网址重定向 * 点击劫持(必须提供 PoC) * 误导性的 Unicode 文本(例如使用从右到左覆盖的字符) ## **超出范围和规则** #### **本悬赏计划不包含以下类型的漏洞**: * 利用已经报告的漏洞发起的攻击 * 使用已泄露的密钥/凭证发起的攻击 * 使用特权地址的攻击(包括治理、策略等) **智能合约和区块链** * 第三方预言机提供的数据不正确 * 不排除预言机操纵/闪电贷攻击 * 基本的治理攻击(例如 51% 攻击) * 缺乏流动性 * 最优实现方式 * 女巫攻击 **网站和应用程序** * 没有任何证据或证明的理论漏洞 * 内容欺骗/文本注入问题 * 自XSS * 使用 OCR 绕过验证码 * 没有安全影响的 CSRF(注销 CSRF、更改语言等) * 缺少 HTTP 安全标头(例如 X-FRAME-OPTIONS)或 cookie 安全标志(例如“httponly”) * 服务器端信息泄露,例如 IP、服务器名称和大多数堆栈跟踪 * 用于枚举或确认用户或账户存在的漏洞 * 不太可能的用户操作的漏洞 * URL重定向(除非与另一个漏洞结合产生更严重的漏洞) * 缺乏 SSL/TLS 最佳实践 * DDoS 漏洞 * 需要从组织内部进行特权访问的攻击 * 功能请求 * 最优实现方式 ## **本漏洞悬赏计划严禁以下活动:** * 任何使用主网或公共测试网合约的测试;所有测试都应在私有测试网上进行 * 任何使用定价预言机或第三方智能合约的测试 * 试图对我们的员工和/或用户进行网络钓鱼或其他社会工程攻击 * 对第三方系统和应用程序(例如,浏览器插件)以及网站(例如,SSO 提供商、广告网络)进行的任何测试 * 任何拒绝服务攻击 * 自动测试产生大量流量的服务 * 公开披露悬赏中未修补的漏洞 --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.marsecosystem.com/zhong-wen/qi-ta/lou-dong-xuan-shang.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.