区块链安全服务公司PeckShield派盾DeFi安全事件统计显示,截至2021年5月31日,今年DeFi安全事件达到48余起,造成损失约5亿美元。成都链安数据显示,仅今年5月,典型安全事件超32起,DeFi板块是安全事故「重灾区」。
连环爆出的安全事件引起用户担忧,去中心化交易平台MDEX率先加固防线——从社区激励计划中,拿出价值超12.6万U的治理代币MDX,发起漏洞赏金计划。
6月18日,针对MDEX漏洞赏金计划的目的和流程,蜂巢财经对话该平台的开发团队CTO Sky,他表示,希望通过本次活动让更多的业内安全研究人员,以此为桥梁参与到MDEX生态的共建中来,共同捍卫MDEX生态参与者的资产及交易安全。
「漏洞赏金计划」先从核心合约开始
蜂巢财经:什么推动了MDEX开启漏洞赏金计划?开启漏洞赏金计划前,MDEX主要借助哪些力量来保障合约安全?
Sky:MDEX上线至今已安全平稳运营5个月,随着MDEX的功能逐渐完善,支持的区块链底层也由初始的HECO增加拓展BSC、ETH以及未来将会支持更多的底层资产加入到MDEX生态中来。
为了MDEX的生态稳健成长以及在成长的路上持续保障用户的资产安全、交易安全,MDEX现推出漏洞赏金计划。希望通过本次活动让更多的业内安全研究人员,以此为桥梁参与到MDEX生态的共建中来,共同捍卫MDEX生态参与者的资产及交易安全。
MDEX一直致力于成为集成DEX,IMO和DAO的CompoundDeFi生态系统的目标,其智能合约和基于区块链的协议的安全性和正确性将始终处于首要位置。在赏金计划之前,MDEX就已经通过了灵踪安全、慢雾科技、CERITKS三大审计机构审计。
蜂巢财经:漏洞赏金主要面对哪些MDEX的合约?
Sky:计划仅限于MDEX的核心合约和外围合约。
其中,MDEX 核心合约包括:
MDX代币合约(Heco)
MDX代币合约(Bsc)
MDX质押挖矿合约(Heco)
MDX质押挖矿合约(Bsc)
MDX交易挖矿(Heco)
MDX交易挖矿(Bsc)
MDEX 外围合约主要包括:
回购销毁合约(Heco)
回购销毁合约(Bsc)
燃烧销毁合约(Heco)
一些合约不在此次漏洞赏金计划范围内,包括与MDEX交互的任何第三方合约或平台中的错误;第三方在MDEX上构建的合约中已经报告或发现的漏洞;还有因为前端错误、DDOS 攻击、自动化工具、损害或滥用第三方系统、服务而发生活动产生的漏洞。这些都暂不计入漏洞赏金计划中。
蜂巢财经:哪类漏洞风险是MDEX最为看重的?
Sky:DEX已经走入了一个新阶段,新一代的DEX和CEX慢慢处于一种相辅相成的状态,CEX的资产容易受到黑客攻击。
同样,DEX是存在于区块链上的智能合约,MDEX作为目前DEX领域的核心代表之一,MDEX始终贯彻都是以用户资产安全的为前提的宗旨,涉及到用户资产安全的合约都是我们MDEX所看重的。
蜂巢财经:我们能看到漏洞赏金计划还是围绕MDEX的核心合约展开的,未来会扩大赏金计划的适用范围吗?
Sky:我们拥有强大的创新和技术能力,为DEX生态贡献了巨大价值,我们期待更多优秀的开发者能够为MDEX的安全以及整个DeFi领域的安全贡献力量。
我们很高兴用如此高的奖金来推出漏洞赏金计划,以不断提升MDEX的安全水平。合约作为代码和数据的集合,合约账户能够在彼此之间传递信息,直接影响用户的资产安全,因此,我们最先以核心合约开展,这是我们赏金计划的重中之重,之后我们还会推出更多其他的赏金计划。
总计超12.6万美元赏金源自社区激励计划
蜂巢财经:发现漏洞后的提交流程和方式是怎样的?有哪些主要注意的事项?比如获得奖励的条件有哪些?
越详细的漏洞报告会增加奖励的可能性,并可能增加奖励金额。当然,要获得本计划的奖励,也需要符合以下条件:
发现以前未报告的、非公开的漏洞,该漏洞将导致MDEX(但不是在与MDEX 交互的任何第三方平台上)可能丢失或锁定资产,并且属于本计划的范围;
率先仅向MDEX披露的漏洞;
提供足够的信息,使我们的工程师能够重现和修复漏洞;
在向MDEX披露漏洞时,不得从事任何非法行为,包括:威胁、要求或任何其他强制手段;
不得以任何方式利用漏洞,包括通过公开或获取利润(本计划下的奖励除外);
真诚地避免 MDEX的隐私侵犯、数据破坏、中断或降级;
每次提交仅提交一个漏洞,除非您需要链接漏洞以提供对任何漏洞的影响;
不提交根据本计划已提交的相同或潜在问题引起的漏洞;
不是我们的现任或前任员工或供应商,也不是任何这些供应商的员工;
遵守该计划的所有资格要求。
蜂巢财经:MDEX如何判断被提交的漏洞是否达标或有效?
Sky:我们非常荣幸邀请到了权威安全机构CertiK、灵踪安全担任MDEX漏洞赏金活动的安全顾问,对MDEX的漏洞赏金活动提供专业意见和指导。经过MDEX确认的全部漏洞报告,都将会通过安全顾问的复核。对于有效的漏洞报告,我们将在邮件答复后,15天内确定漏洞等级并给予相应的奖励。
蜂巢财经:为漏洞赏金计划提供的奖励预算总共有多少?奖励是如何分配的?
Sky:参与此次合约漏洞赏金计划的开发者将获得价值为6000 USDT到60000 USDT不等的MDX,奖励金额总计超过126000 USDT,所有的奖励将以MDX代币形式发放。
具体奖励将参考CVSS风险评级量表来评估漏洞的等级,并分配相应的奖励。除了评估风险的严重性外,还将根据发现的漏洞影响以及发现此类漏洞的难度级别来考虑奖励。
根据风险等级给出的奖励级别
安全审计仍是高质量DeFi的标配
蜂巢财经:MDEX目前已经在多个链上部署,有诸多合约会与MDEX交互,你们怎么看待那些有潜在漏洞的项目与MDEX交互时带来的风险问题?你们怎么防范?用户怎么预防?
Sky:在DeFi大潮流下,锁定在区块链领域里的资产愈发庞大。隐藏在计算机背后的危机也随着Defi的发展日益展露出狰狞的面目。
安全审计现在已经是高质量DeFi项目的标配。当前DeFi项目热潮持续不减,很多项目为了抓住热点与机遇,在未经严格测试和审计的情况下便匆忙上线。智能合约当中,任何一个小bug,都可能会给项目或者投资者造成无法挽回的损失。
受此警示之下,MDEX平台自身已经通过了灵踪安全、慢雾科技、CERITKS三大审计机构进行的全方位安全审计,各项审计指标均优异,无任何环节需要代码更新。同时,其他诸多合约与MDEX要进行交互,我们对于项目在考核方面有相当严格标准,权威严格的审计报告是我们必要的一个环节。
蜂巢财经:此次漏洞赏金计划其实也算是DAO治理的一种形式,MDEX的DAO时代将从何时开始?目前有哪些计划和准备?
Sky: MDEX已经公布了最新的路线图,MDEX所规划的线路会逐步实现完善,DAO计划在最新规划之内,时间不会太久,但是具体时间还需要根据团队各方面的进度来安排,大家可以留意官方消息,每一个计划和功能布局团队都会提前做一些准备。
DAO计划是我们的重要路径之一,MDEX将会开启董事会成员竞选计划,通过MDX投票选出21个超级董事,董事会成员可以享受发起提案、获取高额收入分红的权力,用户则可以通过MDX投票参与治理并获取相应奖励。
你认为「漏洞赏金」这种方式对DeFi安防有效吗?