Sicherheit ist kein Meilenstein, sondern sollte eine langfristige Eigenschaft sein, die jedes System kontinuierlich haben sollte.

Mit der Einführung des Fira UZR (Usual Nullzinsdarlehen) Funktionsmoduls im Ethereum-Hauptnetz wird das bestehende Bug-Bounty-Programm von Usual Labs erweitert, um die Bedeutung dieses Darlehensmarktes im Usual-Ökosystem darzustellen. UZR ist ein festverzinsliches Darlehensmodul, mit dem Benutzer bUSD0 als Sicherheiten bereitstellen können, um USD0 zu einem festen Zinssatz von 0,1% auszuleihen, verbunden mit einer jährlichen Servicegebühr von 0,1%. Es ersetzt das frühere auf Euler basierende Usual-Stabilitätsdarlehenssystem (USL), indem es die Liquidität in die eigene Infrastruktur von Usual verlagert.

Dieses Bug-Bounty-Programm konzentriert sich darauf, Schwachstellen zu identifizieren, die in den Fira UZR Smart Contracts und ihren Schlüsselkomponenten vorhanden sind und die Sicherheit von Geldern und die Integrität des gesamten Protokolls beeinträchtigen können. Nur Smart Contracts, die bereits im Ethereum-Hauptnetz bereitgestellt wurden, und die nachfolgend aufgeführten Smart Contracts kommen für Prämien in Frage.

Die enthaltenen Verträge umfassen:

  • UZR Kreditmarkt (Fira UZR Vault)

  • UZR Vault Oracle Adapter

  • Eingeschränkter Zugang zum Sisu Vault (bUSD0 Sicherheiten Vault / bUSD0 collateral vault)

  • USD0 / bUSD0 Oracle und seine unterstützenden Rückfall-Preismechanismen (Stale Feed)

  • Festzinsmodell (The Fixed-Rate Interest Rate Model)

Diese Verträge wurden von Etherscan verifiziert und verwenden ein transparentes Proxy-Modell, das es Forschern ermöglicht, die Implementierungslogik direkt zu überprüfen.

Teilweise unterstützende Verträge (wie USL Helper Migrator, Sisu Vault Factory und ChainlinkOracleV2-Faktor) fallen ebenfalls in den Umfang, aber nur hochgradige oder mittlere Schweregrade kommen für Prämien in Frage.

Andere Teile des Usual-Protokolls, einschließlich des USD0-Kernvertrags, des Governance-Vertrags und der Schatzkammern außerhalb von UZR, sind ausdrücklich aus dem aktuellen Bounty-Programm ausgeschlossen. Jeglicher Code, der mit dem alten USL-System auf Euler verbunden ist, ist ebenfalls nicht Teil des aktuellen Bounty-Programms.

Schwachstellenschwere und Belohnungsmechanismus

Das Bug-Bounty-Programm verwendet drei verschiedene Schweregrade für Schwachstellen: Kritisch (Critical), Hochrisiko (High) und Mittleres Risiko (Medium)

Kritische Schwere (Critical): Probleme, die zu erheblichen finanziellen Verlusten führen oder zu einer irreversiblen Blockierung von Geldern auf Systemebene führen können, ohne auf extreme oder externe Bedingungen angewiesen zu sein. In der Regel gehören Probleme, die TVL 5 % oder mehr beeinflussen, zu dieser Kategorie. Nur Schwachstellen, die in den zentralen kritischen Smart Contracts vorhanden sind, fallen in diese Kategorie.

Schwere Schwachstellen können eine Belohnung von bis zu 7.500.000 USD beantragen, wobei die Belohnung höchstens 10 % des zum Zeitpunkt der Einreichung betroffenen Gesamtbetrags beträgt. Verifizierte schwerwiegende Probleme haben eine Mindestprämie von 200.000 USD.

Hohe Schwere (High Severity): Bezieht sich auf Probleme, die zu erheblichen finanziellen Verlusten oder Einfrierungen führen können, wobei in der Regel der betroffene TVL-Anteil klein ist (ca. 1 %–5 %) oder es bestimmte unwahrscheinliche Bedingungen erfordert, um ausgenutzt zu werden. Dazu gehört auch der Missbrauch von sekundären Smart Contracts, um massive finanzielle Verluste zu verursachen.

Mittlere Schwere (Medium Severity): Beinhaltet Schwachstellen, die zu Verlusten von Geldern einzelner Benutzer führen oder dazu führen können, dass Gelder dauerhaft blockiert werden, oder in begrenzten Szenarien zu einer Verschlechterung der Sicherheit oder der Gesamtverfügbarkeit führen.

Die Prämienbeträge für hohe (High Severity) und mittlere (Medium Severity) Schweregrade werden nach Ermessen der offiziellen Stellen festgelegt und basieren auf den jeweiligen Umständen. Alle Berichte werden vom Sherlock-Sicherheitsteam klassifiziert und bewertet, und sie treffen die endgültige Entscheidung über die Gültigkeit und Schwere.

Niedrigrisiko-Probleme, wie Low oder Informational, erfüllen nicht die Anforderungen für Bounty-Prämien.

Bounty-Umfang und nicht enthaltene Projekte

Dieses Bounty-Programm deckt nur die Fira UZR-Module und die zugehörigen Verträge ab, die im Besitz von Usual Labs sind und im Ethereum-Hauptnetz bereitgestellt wurden.

Folgendes fällt nicht in den Umfang des Bounty-Programms:

  • Nicht bereitgestellte oder nur im Testnetz vorhandene Codes

  • Bekannte Probleme aus früheren Prüfungen

  • Frontend-, UI- oder Website-Schwachstellen

  • Drittanbieter-Integrationen und externe Protokolle

  • Fehler externer Orakel oder Off-Chain-Prozesse

  • Risiken realer Vermögenswerte (RWA) oder rechtliche Risiken

  • Vorsätzliche verwaltende oder governance-handlungen

  • Erwartetes Verhalten des Protokolls (z. B. Zwangsliquidation bei Fälligkeit von bUSD0)

  • Kleine Gas-Optimierungen oder Rundungsprobleme

  • Unrealistische Brute-Force- oder rein theoretische Angriffe

  • Reine wirtschaftliche oder marktmanipulative Aktivitäten ohne Codefehler

  • Risiken von Drittanbieterplattformen

  • Probleme, die nur in Dokumenten existieren

Wenn das Problem nur durch die erwarteten Protokollregeln oder Managementhandlungen ausgelöst werden kann, wird es nicht als Schwachstelle angesehen.

Verantwortungsvolle Offenlegung

Alle Einreichungen zu Problemen müssen den Regeln der Sherlock-Auditplattform und der Safe Harbor-Richtlinie entsprechen.

Schwere Schwachstellen dürfen der Öffentlichkeit nicht bekannt gegeben werden, bevor Folgendes eintritt:

  1. Usual Labs wurde benachrichtigt und hat das Problem bestätigt

  2. Maßnahmen zur Behebung oder Minderung wurden implementiert

  3. Erhalt einer klaren Erlaubnis zur Offenlegung gegenüber der Öffentlichkeit

Forscher sind verpflichtet, Probleme innerhalb von 24 Stunden nach Entdeckung zu melden. Jegliche Versuche, Schwachstellen zu nutzen oder aus diesen finanziellen Gewinn zu erzielen, die nicht zu Demonstrationszwecken dienen, führen zum Verlust der Teilnahmeberechtigung am Bug-Bounty-Programm.

Tests sollten nur in einer lokalen Umgebung oder auf einem Hauptnetz-Fork durchgeführt werden. Zerstörerische Tests im Hauptnetz sind nicht erlaubt.

Anwendbarkeit

Teilnehmer müssen Folgendes einhalten:

  • Nicht Gegenstand internationaler Sanktionen

  • Nicht Teil von Usual Labs oder dem Fira-Entwicklungsteam

  • Rechtliche Handlungsfähigkeit zur Teilnahme

  • Wurde noch nie offiziell auf Kosten geprüft

  • Zustimmung zur Einhaltung aller Programmregeln

Die Qualifikation kann überprüft werden, Regelverstöße können zum Verlust der Teilnahmeberechtigung führen.

Die Bedeutung des Bug-Bounty-Programms

UZR fungiert jetzt als ein im Hauptnetz implementiertes Funktionsmodul mit echten Geldern und echten Benutzern. Obwohl es mehrere Prüfungen bestanden hat, ist eine Prüfung nur eine Grundlage und kein Endpunkt.

Die Existenz dieses Bounty-Programms wird Anreize schaffen und die Realität in Einklang bringen: Wenn das System in einer öffentlichen, transparenten Umgebung unter klaren Regeln überprüft wird und Belohnungen im Verhältnis zum Risiko stehen, können echte Verbesserungen erzielt werden.

Wenn Ihre Fachrichtung die Sicherheit von Smart Contracts, das Design von Preismodellen oder das System für feste Zinssätze betrifft, laden wir Sie durch dieses Bounty-Programm ein, unsere bereits implementierten Einrichtungen zu überprüfen und einen wirklichen Einfluss zu erzielen.

Je tiefgehender die Prüfung, desto sicherer die Sicherheit.