La sicurezza non è una pietra miliare, ma dovrebbe essere una proprietà a lungo termine che ogni sistema deve continuamente possedere.
Con il lancio del modulo funzionale Fira UZR (Usual zero interest lending) sulla rete principale di Ethereum, Usual Labs ha ampliato il programma di ricompensa per le vulnerabilità esistenti per rappresentare l'importanza di questo mercato di prestiti all'interno dell'ecosistema Usual. UZR è un modulo di prestito a tasso fisso, attraverso il quale gli utenti possono fornire bUSD0 come garanzia per prestare USD0 a un tasso di interesse fisso dello 0,1%, con un costo di servizio annuale dello 0,1%. Sostituendo il sistema di prestiti di stabilità Usual (USL) basato su Euler, trasferisce la liquidità all'infrastruttura proprietaria di Usual.
Questo programma di ricompensa per le vulnerabilità si concentra sull'individuazione delle vulnerabilità che possono influenzare la sicurezza dei fondi e l'integrità complessiva del protocollo all'interno del contratto intelligente Fira UZR e delle sue parti chiave. Solo i contratti intelligenti già implementati sulla rete principale di Ethereum e i seguenti contratti intelligenti inclusi nell'ambito sono idonei per le ricompense.
I contratti inclusi sono:
Mercato di prestito UZR (Fira UZR Vault)
Adattatore oracolo del tesoro UZR (UZR Vault Oracle Adapter)
Tesoreria Sisu con accesso limitato (tesoreria collateral bUSD0 / bUSD0 collateral vault)
Oracolo USD0 / bUSD0 e il meccanismo di fallback dei prezzi supportati (Stale Feed)
Modello di tasso di interesse fisso (The Fixed-Rate Interest Rate Model)
Questi contratti sono stati verificati tramite Etherscan e utilizzano un modello di proxy trasparente, consentendo ai ricercatori di esaminare direttamente la logica di implementazione.
I contratti di supporto parziale (come USL Helper Migrator, Sisu Vault Factory e ChainlinkOracleV2 Factor y) sono inclusi, ma solo le vulnerabilità di alta o media gravità sono idonee per le ricompense.
Altre parti del protocollo Usual, inclusi i contratti core USD0, i contratti di governance e le riserve al di fuori di UZR, sono esplicitamente escluse da questo programma di ricompensa. Qualsiasi codice associato al vecchio sistema USL su Euler non rientra nemmeno in questo programma di ricompensa.
Gravità delle vulnerabilità e meccanismo di ricompensa
Il programma di ricompensa per le vulnerabilità adotta tre diversi livelli di gravità: Gravità Critica, Alta Gravità e Media Gravità
Gravità (Critica): Causa perdite significative di fondi senza fare affidamento su condizioni estreme o esterne, o può causare il blocco irreversibile dei fondi a livello di sistema. Di solito, i problemi che influenzano il TVL del 5% o più rientrano in questa categoria. Solo le vulnerabilità presenti nei contratti intelligenti chiave del core rientrano in questo livello.
Le vulnerabilità di gravità critica possono richiedere ricompense non superiori a $7.500.000, con una ricompensa massima non superiore al 10% del totale dei fondi colpiti al momento della segnalazione della vulnerabilità. I problemi di gravità critica verificati hanno una ricompensa minima di $200.000.
Alta Gravità: Si riferisce a problemi che possono causare perdite significative di fondi o congelamenti, di solito con una piccola percentuale di TVL colpito (circa 1%–5%), o che richiedono determinate condizioni poco probabili per essere sfruttati. Comprende anche l'abuso di contratti intelligenti secondari per causare enormi perdite economiche.
Media Gravità: Include vulnerabilità che possono causare perdite permanenti di fondi degli utenti individuali o ridurre la sicurezza in scenari limitati o compromettere l'usabilità complessiva.
Le ricompense per gravità alta e media sono gestite a discrezione ufficiale e determinate in base alle circostanze specifiche. Tutti i rapporti sono classificati e valutati dal team di sicurezza Sherlock, che emette il giudizio finale sulla validità e gravità.
Problemi a basso rischio, come quelli di bassa gravità o informativi, non soddisfano i requisiti per le ricompense.
Ambito delle ricompense e progetti non inclusi
Questo programma di ricompensa copre solo i moduli Fira UZR posseduti e implementati da Usual Labs sulla rete principale di Ethereum e i loro contratti correlati.
I seguenti contenuti non rientrano nell'ambito del programma di ricompensa:
Codice non implementato o presente solo su reti di test
Problemi noti in audit precedenti
Vulnerabilità del frontend, UI o sito web
Integrazioni di terze parti e protocolli esterni
Guasti degli oracoli esterni o processi off-chain
Asset del mondo reale (RWA) o rischi legali
Operazioni gestionali o di governance intenzionali
Comportamento atteso del protocollo (come la liquidazione forzata di bUSD0 alla scadenza)
Minime ottimizzazioni di Gas o problemi di arrotondamento
Attacco di forza bruta irrealistico o attacco puramente teorico
Comportamenti di manipolazione economica o di mercato senza difetti di codice
Rischi delle piattaforme di terze parti
Problemi che esistono solo nella documentazione
Se un problema può essere attivato solo attraverso le regole di protocollo o comportamenti gestionali previsti, non è considerato una vulnerabilità.
Divulgazione responsabile
Tutte le segnalazioni di problemi devono rispettare le regole della piattaforma di audit Sherlock e le politiche di Safe Harbor.
Le vulnerabilità di gravità critica non possono essere divulgate al pubblico prima che si verifichino le seguenti condizioni:
Usual Labs è stata informata e ha confermato il problema
Le misure correttive o di mitigazione sono state implementate
Ottenere un permesso chiaro da rendere pubblico
Si richiede ai ricercatori di segnalare i problemi entro 24 ore dalla scoperta. Qualsiasi utilizzo della vulnerabilità per scopi diversi dalla dimostrazione e tentativi di trarre profitto dalla vulnerabilità comporteranno la cancellazione della partecipazione al programma di ricompensa.
I test devono essere condotti solo in ambienti locali o su fork della rete principale. Non è consentito effettuare test distruttivi sulla rete principale.
Applicabilità
I partecipanti devono rispettare quanto segue:
Non è soggetto a sanzioni internazionali
Non è affiliato a Usual Labs o al team di sviluppo Fira
Avere la capacità legale di partecipare
Non è mai stato auditato a pagamento ufficiale
Accettare di conformarsi a tutte le regole del programma
Le qualifiche possono essere verificate, la violazione delle regole può comportare la cancellazione della partecipazione.
L'importanza del programma di ricompensa per le vulnerabilità
UZR ora funge da modulo funzionale online con fondi reali e utenti reali. Anche se ha superato più controlli di audit, l'audit è solo una base, non un punto finale.
L'esistenza di questo programma di ricompensa allineerà gli incentivi e la realtà: solo quando il sistema è sottoposto a revisione in un ambiente pubblico e trasparente, sotto regole chiare, e le ricompense sono proporzionali ai rischi, si otterranno veri miglioramenti.
Se la vostra area di competenza è la sicurezza dei contratti intelligenti, la progettazione di oracoli di prezzo o sistemi di prestito a tasso fisso, vi invitiamo a rivedere le strutture già implementate tramite questo programma di ricompensa e a generare un impatto reale.
Più profonda è la revisione, più solida è la sicurezza.