漏洞悬赏计划

项目概述

Mars Ecosystem是一个全新的去中心化稳定币范式,它将稳定币的创造和使用整合到同一个系统中。

Mars Ecosystem由Mars金库、Mars稳定币和Mars DeFi协议三个部分组成,它们共同组成了一个正反馈循环。

Mars稳定币具有价格稳定、资本使用率高、可扩展性强、去中心化等特点。

Mars Ecosystem的目标是建造DeFi世界的中央银行和储备货币。

本悬赏计划重点关注所有智能合约和网站程序,并专注于以下影响💡:

  • 用户本金被盗或被冻结

  • 未领取的奖励被盗或被冻结

  • 治理基金被盗

  • 治理系统遭到破坏

  • 网站无法访问

  • 用户数据泄露

  • 用户数据被删除

  • 未经授权访问敏感页面

  • 智能合约未能根据APR 给予回报

所有漏洞必须通过 immuefi 来提交。

漏洞等级及对应奖励

本计划奖励基于Immunefi Vulnerability Severity Classification System进行分配。这是一个简化的表单,对网站/app/智能合约分别定义了分级策略,包括漏洞影响、权限执行、以及危害可能性的所有内容。

所有网站/App漏洞报告必须附带 PoC 才能获得奖励。

以下审计报告中的错误不会获得奖励:

慢雾审计

CertiK审计

奖金由Marsecosystem团队进行支付,并以美元计价。酌情以XMS或USDT支付。

智能合约

严重 最高 60,000 美元

高危 15,500 美元

中危 5,000 美元

低危 1,000 美元

网站和App

严重 10,000 美元

高危 5,000 美元

中危 1,000 美元

漏洞涵盖范围

Mars Ecosystem所有智能合约都可以在https://github.com/MarsEcosystem上找到。只在下列规定的漏洞才被视为漏洞悬赏计划的范围内。

影响范围

本漏洞悬赏计划仅接受以下影响。所有其他影响都不被视为在悬赏范围内。

智能合约

  • 因冻结或盗窃而损失用户本金

  • 治理资金丢失

  • 盗窃未领取的收益

  • 冻结未领取的收益

  • 临时冻结用户本金

  • 无法调用智能合约

  • 智能合约gas用尽

  • 智能合约未能达到规定的回报

  • 投票可被操纵

  • 错误的投票

网页/App

  • 与资金有关的任何错误或不符合预期的行为。(举例:用户在app上输入 10 USDC,我们实际上向智能合约发送了 100 USDC)

  • 调用了错误的智能合约

  • 跨站请求伪造(CSRF)

  • 跨站脚本攻击(XSS)

优先关注漏洞

我们优先关注以下类型的漏洞:

智能合约和区块链

  • 重入攻击

  • 逻辑错误

  • 包括用户身份验证错误

  • 不考虑 Solidity/EVM 细节

  • 包括整数溢出/下溢

  • 包括舍入误差

  • 包括未处理的异常

  • 信任/依赖漏洞

  • 包括可组合性漏洞

  • Oracle 故障/操作

  • 新型治理攻击

  • 经济/金融攻击

  • 包括闪电贷攻击

  • 堵塞和可扩展性

  • 包括gas溢出问题

  • 包括区块堵塞问题

  • 包括对抢先交易的敏感性

  • 共识失败

  • 密码学问题

  • 签名延展性

  • 重放攻击敏感性

  • 弱随机性

  • 弱加密

  • 时间戳操纵敏感性

  • 缺少访问控制/未受保护的内部调试接口

网站和App

  • 远程代码执行

  • 信任/依赖漏洞

  • 垂直提权

  • XML 外部注入

  • SQL注入

  • 低频干扰/射频干扰

  • 水平提权

  • 存储型 XSS

  • 具有影响的反射型 XSS

  • 具有影响力的 CSRF

  • 直接对象引用

  • 内部SSRF

  • 会话固定

  • 不安全的反序列化

  • DOM XSS

  • SSL 错误配置

  • SSL/TLS 问题(弱加密、不正确的设置)

  • 网址重定向

  • 点击劫持(必须提供 PoC)

  • 误导性的 Unicode 文本(例如使用从右到左覆盖的字符)

超出范围和规则

本悬赏计划不包含以下类型的漏洞

  • 利用已经报告的漏洞发起的攻击

  • 使用已泄露的密钥/凭证发起的攻击

  • 使用特权地址的攻击(包括治理、策略等)

智能合约和区块链

  • 第三方预言机提供的数据不正确

  • 不排除预言机操纵/闪电贷攻击

  • 基本的治理攻击(例如 51% 攻击)

  • 缺乏流动性

  • 最优实现方式

  • 女巫攻击

网站和应用程序

  • 没有任何证据或证明的理论漏洞

  • 内容欺骗/文本注入问题

  • 自XSS

  • 使用 OCR 绕过验证码

  • 没有安全影响的 CSRF(注销 CSRF、更改语言等)

  • 缺少 HTTP 安全标头(例如 X-FRAME-OPTIONS)或 cookie 安全标志(例如“httponly”)

  • 服务器端信息泄露,例如 IP、服务器名称和大多数堆栈跟踪

  • 用于枚举或确认用户或账户存在的漏洞

  • 不太可能的用户操作的漏洞

  • URL重定向(除非与另一个漏洞结合产生更严重的漏洞)

  • 缺乏 SSL/TLS 最佳实践

  • DDoS 漏洞

  • 需要从组织内部进行特权访问的攻击

  • 功能请求

  • 最优实现方式

本漏洞悬赏计划严禁以下活动:

  • 任何使用主网或公共测试网合约的测试;所有测试都应在私有测试网上进行

  • 任何使用定价预言机或第三方智能合约的测试

  • 试图对我们的员工和/或用户进行网络钓鱼或其他社会工程攻击

  • 对第三方系统和应用程序(例如,浏览器插件)以及网站(例如,SSO 提供商、广告网络)进行的任何测试

  • 任何拒绝服务攻击

  • 自动测试产生大量流量的服务

  • 公开披露悬赏中未修补的漏洞

Last updated