🎁漏洞赏金
我们很高兴宣布我们的漏洞赏金计划,并鼓励大家通过提交漏洞参与其中。 您可以将您发现的漏洞信息发送到 security@mufex.finance ,我们的团队将迅速审查和验证报告的问题。或者,您可以在我们合作伙伴的页面上提交漏洞 :
我们重视您对我们平台安全的贡献,并将及时与您联系。
网页漏洞赏金
Scope
赏金
低风险
50 to 100 USDT
中等风险
100 to 500 USDT
高风险
500 to 1000 USDT
关键风险
1000 to 5000 USDT
网页漏洞定义 关键漏洞:
关键漏洞指的是在核心业务系统(如核心控制系统、域控制器、业务分配系统和堡垒主机)中发生的漏洞,这些系统管理着大量系统。这些漏洞可能会产生广泛的影响,允许未授权控制业务系统(根据具体情况而定)、获得核心系统的管理员权限,甚至控制核心系统。关键漏洞的例子包括但不限于: 控制内网中的多个设备。 获取后端的超级管理员权限,导致关键企业数据泄露等严重后果。 智能合约溢出和竞态条件漏洞。 高风险漏洞: 获得系统权限(例如,GetShell、命令执行等)。 系统SQL注入(后端漏洞降级,根据判断优先考虑捆绑提交)。 未经授权访问敏感信息,包括绕过身份验证直接访问管理后端、关键后端的弱密码、允许获取大量敏感内部网络信息的SSRF漏洞等。 任意文件读取。 XXE漏洞,允许访问任何信息。 未经授权的交易或绕过涉及资金的支付逻辑(需要成功利用)。 严重的逻辑和流程设计缺陷,包括但不限于任意用户登录漏洞、批量修改任意账户密码漏洞、关键业务流程相关的逻辑漏洞(不包括验证码破解)等。 对用户产生广泛影响的其他漏洞,包括但不限于在重要页面上能够自动传播的存储型XSS漏洞、成功利用管理员认证信息的存储型XSS漏洞等。 广泛的源代码泄露。 智能合约权限控制缺陷。 中风险漏洞: 互动后影响用户的漏洞,包括但不限于存储型XSS漏洞、与核心业务流程相关的CSRF漏洞等。 并行授权操作,包括但不限于绕过限制修改用户数据或执行用户操作。 拒绝服务(DoS)漏洞,包括但不限于由DoS网络应用程序引起的远程DoS漏洞。 由验证码逻辑缺陷导致的漏洞,允许成功暴力破解敏感操作如任意账户登录或密码检索。 可有效利用的本地敏感认证密钥信息泄露。 低风险漏洞: 本地DoS漏洞,包括但不限于客户端本地DoS(由解析文件格式、网络协议等引起的崩溃)、由Android组件权限暴露引起的问题、常规应用程序访问等。 常规信息泄露,包括但不限于Web路径遍历、系统路径遍历、目录浏览等。 XSS漏洞(包括DOM XSS/反射型XSS)。 常规CSRF漏洞。 URL重定向漏洞。 SMS炸弹、邮件炸弹(每个系统只接受一种此类漏洞)。 其他影响相对较低或无法证明危害的漏洞(例如,不允许访问敏感信息的CORS漏洞)。 未能成功深度利用且未返回值的SSRF漏洞。 不接受的漏洞类型(报告的漏洞将被忽略): 电子邮件欺骗。 用户枚举漏洞。 自XSS和HTML注入。 缺少CSP和SRI安全策略的网页。 非敏感操作的CSRF问题。 个别Android应用程序问题,如android:allowBackup="true"或本地拒绝服务(除非深度利用)。 修改图片大小导致请求缓慢等问题。 泄露的Nginx或其他软件版本。 不构成安全风险的功能问题。 针对MUFEX员工的个人攻击或针对MUFEX员工的社交工程。
合约漏洞赏金
Scope
Arbitrum
HotTreasury: 0x763ecd00eEA0CDAECBDF97d88c3e0fd5457eE5A0
MainTreasury: 0x16BEDB2Ab2aEf9023ff2cbF0C78135cA120c03C6
DepositWalletFactory: 0xc8a3a6d43e8aa43187d7b7a1faef21e65acba43b
Polygon
HotTreasury: 0x763ecd00eEA0CDAECBDF97d88c3e0fd5457eE5A0
赏金
低风险
50 to 100 USDT
中等风险
100 to 500 USDT
高风险
500 to 1000 USDT
关键风险
5000 to 500000 USDT
合约漏洞定义
关键漏洞: 任何治理投票结果的操纵 直接盗取任何用户资金(无论是静止状态还是移动状态),除未领取的收益之外 永久冻结资金 矿工可提取价值(MEV) 协议破产 高风险漏洞: 盗取未领取的收益 盗取未领取的版税 永久冻结未领取的收益 永久冻结未领取的版税 临时冻结资金 中等风险漏洞: 智能合约由于缺少代币资金而无法运行 为了盈利而堵塞区块 悲伤行为(例如,攻击者没有盈利动机,但对用户或协议造成损害) 盗取气体 无限制的气体消耗 低风险漏洞: 合约未能实现承诺的回报,但价值不减 信息漏洞: 第三方预言机提供的错误数据: 不排除预言机操纵/闪电贷攻击的影响 需要基本的经济和治理攻击(例如,51%攻击)的影响 缺乏流动性的影响 涉及中心化风险的影响 最佳实践建议 针对Sybil攻击的防御 已经报告或在MUFEX上由第三方构建的合约中发现的漏洞 与MUFEX互动的任何第三方合约或平台中的漏洞
禁止活动
参与社会工程和/或网络钓鱼活动。 披露关于漏洞的具体信息。 漏洞测试仅限于概念验证(PoC),严禁进行破坏性测试。如果在测试过程中发生任何意外损害,应立即报告。此外,测试过程中进行的任何删除、修改或其他敏感操作都必须在报告中明确说明。 进行大规模扫描时,请使用扫描工具。如果由于扫描活动导致业务系统或网络不可用,将根据相关法律采取适当措施。 漏洞测试应避免直接修改网页、持续弹出消息框(建议使用DNSLog进行XSS验证)、窃取Cookie和/或获取用户信息的任何侵入性载荷(XSS盲测试应使用DNSLog)。如果意外使用了侵入性载荷,请立即移除。未能这样做可能会导致法律后果。
以前的审计
MUFEX已提供这些已完成的审计报告供参考。这些报告中提到的任何未修复的漏洞都不符合奖励资格。
Last updated