我们很高兴宣布我们的漏洞赏金计划，并鼓励大家通过提交漏洞参与其中。 您可以将您发现的漏洞信息发送到 security@mufex.finance ，我们的团队将迅速审查和验证报告的问题。或者，您可以在我们合作伙伴的页面上提交漏洞 :​​

• https://bugrap.io/bounties/MUFEX

• https://github.com/Secure3Audit/Secure3Academy/blob/main/bug_bounty/Mufex.md

• https://immunefi.com/bounty/mufex

我们重视您对我们平台安全的贡献，并将及时与您联系。

网页漏洞赏金

Scope

*.mufex.finance

赏金

网页漏洞定义 关键漏洞：

关键漏洞指的是在核心业务系统（如核心控制系统、域控制器、业务分配系统和堡垒主机）中发生的漏洞，这些系统管理着大量系统。这些漏洞可能会产生广泛的影响，允许未授权控制业务系统（根据具体情况而定）、获得核心系统的管理员权限，甚至控制核心系统。关键漏洞的例子包括但不限于： 控制内网中的多个设备。 获取后端的超级管理员权限，导致关键企业数据泄露等严重后果。 智能合约溢出和竞态条件漏洞。 高风险漏洞： 获得系统权限（例如，GetShell、命令执行等）。 系统SQL注入（后端漏洞降级，根据判断优先考虑捆绑提交）。 未经授权访问敏感信息，包括绕过身份验证直接访问管理后端、关键后端的弱密码、允许获取大量敏感内部网络信息的SSRF漏洞等。 任意文件读取。 XXE漏洞，允许访问任何信息。 未经授权的交易或绕过涉及资金的支付逻辑（需要成功利用）。 严重的逻辑和流程设计缺陷，包括但不限于任意用户登录漏洞、批量修改任意账户密码漏洞、关键业务流程相关的逻辑漏洞（不包括验证码破解）等。 对用户产生广泛影响的其他漏洞，包括但不限于在重要页面上能够自动传播的存储型XSS漏洞、成功利用管理员认证信息的存储型XSS漏洞等。 广泛的源代码泄露。 智能合约权限控制缺陷。 中风险漏洞： 互动后影响用户的漏洞，包括但不限于存储型XSS漏洞、与核心业务流程相关的CSRF漏洞等。 并行授权操作，包括但不限于绕过限制修改用户数据或执行用户操作。 拒绝服务（DoS）漏洞，包括但不限于由DoS网络应用程序引起的远程DoS漏洞。 由验证码逻辑缺陷导致的漏洞，允许成功暴力破解敏感操作如任意账户登录或密码检索。 可有效利用的本地敏感认证密钥信息泄露。 低风险漏洞： 本地DoS漏洞，包括但不限于客户端本地DoS（由解析文件格式、网络协议等引起的崩溃）、由Android组件权限暴露引起的问题、常规应用程序访问等。 常规信息泄露，包括但不限于Web路径遍历、系统路径遍历、目录浏览等。 XSS漏洞（包括DOM XSS/反射型XSS）。 常规CSRF漏洞。 URL重定向漏洞。 SMS炸弹、邮件炸弹（每个系统只接受一种此类漏洞）。 其他影响相对较低或无法证明危害的漏洞（例如，不允许访问敏感信息的CORS漏洞）。 未能成功深度利用且未返回值的SSRF漏洞。 不接受的漏洞类型（报告的漏洞将被忽略）： 电子邮件欺骗。 用户枚举漏洞。 自XSS和HTML注入。 缺少CSP和SRI安全策略的网页。 非敏感操作的CSRF问题。 个别Android应用程序问题，如android:allowBackup="true"或本地拒绝服务（除非深度利用）。 修改图片大小导致请求缓慢等问题。 泄露的Nginx或其他软件版本。 不构成安全风险的功能问题。 针对MUFEX员工的个人攻击或针对MUFEX员工的社交工程。

合约漏洞赏金

Scope

• Arbitrum

  • HotTreasury: 0x763ecd00eEA0CDAECBDF97d88c3e0fd5457eE5A0

  • MainTreasury: 0x16BEDB2Ab2aEf9023ff2cbF0C78135cA120c03C6

  • DepositWalletFactory: 0xc8a3a6d43e8aa43187d7b7a1faef21e65acba43b

• Polygon

  • HotTreasury: 0x763ecd00eEA0CDAECBDF97d88c3e0fd5457eE5A0

赏金

合约漏洞定义

关键漏洞： 任何治理投票结果的操纵 直接盗取任何用户资金（无论是静止状态还是移动状态），除未领取的收益之外 永久冻结资金 矿工可提取价值（MEV） 协议破产 高风险漏洞： 盗取未领取的收益 盗取未领取的版税 永久冻结未领取的收益 永久冻结未领取的版税 临时冻结资金 中等风险漏洞： 智能合约由于缺少代币资金而无法运行 为了盈利而堵塞区块 悲伤行为（例如，攻击者没有盈利动机，但对用户或协议造成损害） 盗取气体 无限制的气体消耗 低风险漏洞： 合约未能实现承诺的回报，但价值不减 信息漏洞： 第三方预言机提供的错误数据： 不排除预言机操纵/闪电贷攻击的影响 需要基本的经济和治理攻击（例如，51%攻击）的影响 缺乏流动性的影响 涉及中心化风险的影响 最佳实践建议 针对Sybil攻击的防御 已经报告或在MUFEX上由第三方构建的合约中发现的漏洞 与MUFEX互动的任何第三方合约或平台中的漏洞

禁止活动

参与社会工程和/或网络钓鱼活动。 披露关于漏洞的具体信息。 漏洞测试仅限于概念验证（PoC），严禁进行破坏性测试。如果在测试过程中发生任何意外损害，应立即报告。此外，测试过程中进行的任何删除、修改或其他敏感操作都必须在报告中明确说明。 进行大规模扫描时，请使用扫描工具。如果由于扫描活动导致业务系统或网络不可用，将根据相关法律采取适当措施。 漏洞测试应避免直接修改网页、持续弹出消息框（建议使用DNSLog进行XSS验证）、窃取Cookie和/或获取用户信息的任何侵入性载荷（XSS盲测试应使用DNSLog）。如果意外使用了侵入性载荷，请立即移除。未能这样做可能会导致法律后果。

以前的审计

MUFEX已提供这些已完成的审计报告供参考。这些报告中提到的任何未修复的漏洞都不符合奖励资格。

• https://github.com/numencyber/AuditReport/blob/main/Mufex%20Penetration%20Test%20Report%20v0.2.pdf

• https://metatrust.io/score/audit/mufex

• https://github.com/Secure3Audit/Secure3Academy/tree/main/audit_reports/Mufex