根据区块链保安服务公司PeckShield对DeFi安全事件的统计，截至2021年5月31日，今年发生的DeFi安全事件超过48起，造成损失约5亿美元。成都联安数据显示，仅今年5月份，典型安全事件就超32起，德菲板材是安全事件的“重灾区”。 　　

　　

　　连环安全事件引发用户担忧，去中心化交易平台MDEX率先加强防线——从社区激励计划中拿出价值超过12.6万U的治理令牌MDX，推出漏洞赏金计划。 　　

　　

　　6月18日，针对MDEX漏洞赏金计划的目的和流程，蜂巢财经对话平台开发团队CTO Sky。他表示，希望通过此次活动，让行业内更多的安全研究者参与到MDEX生态的共建中来，以此为桥梁，共同捍卫MDEX生态参与者的资产和交易安全。 　　

　　

　　「漏洞赏金计划」先从核心合约开始 　　

　　

　　 　　

　　

　　蜂巢财经：什么推动了MDEX开启漏洞赏金计划？开启漏洞赏金计划前，MDEX主要借助哪些力量来保障合约安全？ 　　

　　

　　Sky: MDEX自推出以来已安全稳定运行了五个月。随着MDEX功能的逐步完善，支持的区块链底层也从最初的HECO增加到扩展BSC，未来将支持ETH和更多底层资产加入MDEX生态系统。 　　

　　

　　为了MDEX生态的稳定成长，以及对用户资产安全和交易安全的持续保护，MDEX现推出漏洞赏金计划。希望通过此次活动，让行业内更多的安全研究者参与到MDEX生态的共建中来，以此为桥梁，共同捍卫MDEX生态参与者的资产和交易安全。 　　

　　

　　MDEX一直致力于成为整合DEX、IMO和DAO的CompoundDeFi生态系统的目标，其智能合约和基于区块链的协议的安全性和正确性将永远放在第一位。在赏金计划之前，MDEX已经通过了纪灵安全、慢雾科技、CERITKS三大审计机构的审计。 　　

　　

　　蜂巢财经：漏洞赏金主要面对哪些MDEX的合约？ 　　

　　

　　Sky: 计划仅限于MDEX的核心合同和外围合同。 　　

　　

　　其中，MDEX核心合约包括： 　　

　　

　　MDX令牌合约(Heco)MDX令牌合约(Bsc)MDX质押挖掘合约(Heco)MDX质押挖掘合约(Bsc)MDX交易挖掘(Heco)MDX交易挖掘(Bsc)MDEX外围合约主要包括： 　　

　　

　　回购和销毁合同 　　

　　

　　本漏洞赏金计划不涵盖部分合约，包括任何与MDEX交互的第三方合约或平台中的错误；由第三方在MDEX上构建的合同中报告或发现的漏洞；还有前端错误、DDOS攻击、自动化工具、第三方系统和服务的破坏或滥用导致的漏洞。这些暂时不在漏洞赏金计划内。 　　

　　

　　蜂巢财经：哪类漏洞风险是MDEX最为看重的？ 　　

　　

　　Sky: 德克斯进入了一个新阶段。新一代的德克斯和CEX逐渐处于互补状态，CEX的资产容易受到黑客攻击。 　　

　　

　　类似地，DEX是存在于区块链的智能合约。MDEX是当前DEX领域的核心代表之一。MDEX始终贯彻用户资产安全的宗旨，所有涉及用户资产安全的合同都被MDEX看重。 　　

　　

　　蜂巢财经：我们能看到漏洞赏金计划还是围绕MDEX的核心合约展开的，未来会扩大赏金计划的适用范围吗？ 　　

　　

　　Sky: 拥有强大的创新和技术能力，这为DEX生态带来了巨大的价值。我们期待更多优秀的开发者为MDEX的安全和整个DeFi领域的安全做出贡献。 　　

　　

　　我们很高兴用这么高的奖金来启动漏洞赏金计划，不断提升MDEX的安全水平。合同账户作为合同代码和数据的集合，可以相互传递信息，直接影响用户的资产安全。因此，我们从核心契约开始，这是我们赏金计划的重中之重，然后我们将推出更多的其他赏金计划。 　　

　　

　　总计超12.6万美元赏金源自社区激励计划 　　

　　

　　 　　

　　

　　蜂巢财经：发现漏洞后的提交流程和方式是怎样的？有哪些主要注意的事项？比如获得奖励的条件有哪些？ 　　

ng>

　　

　　

Sky:发现的任何漏洞或错误必须仅报告给MDEX的开发者邮箱（developer@mdex.com）。向上述邮箱披露之前，不得向任何其他人、实体或电子邮件地址披露。也请发现漏洞的「赏金猎人」们尽可能多地描述漏洞信息，包括重现错误的条件是确定性的，重现错误所需的步骤，漏洞被滥用的潜在影响等等。

　　

　　

越详细的漏洞报告会增加奖励的可能性，并可能增加奖励金额。当然，要获得本计划的奖励，也需要符合以下条件：

　　

发现以前未报告的、非公开的漏洞，该漏洞将导致MDEX（但不是在与MDEX 交互的任何第三方平台上）可能丢失或锁定资产，并且属于本计划的范围；率先仅向MDEX披露的漏洞；提供足够的信息，使我们的工程师能够重现和修复漏洞；在向MDEX披露漏洞时，不得从事任何非法行为，包括：威胁、要求或任何其他强制手段；不得以任何方式利用漏洞，包括通过公开或获取利润（本计划下的奖励除外）；真诚地避免 MDEX的隐私侵犯、数据破坏、中断或降级；每次提交仅提交一个漏洞，除非您需要链接漏洞以提供对任何漏洞的影响；不提交根据本计划已提交的相同或潜在问题引起的漏洞；不是我们的现任或前任员工或供应商，也不是任何这些供应商的员工；遵守该计划的所有资格要求。

　　

蜂巢财经： MDEX如何判断被提交的漏洞是否达标或有效？

　　

　　

Sky: 我们非常荣幸邀请到了权威安全机构CertiK、灵踪安全担任MDEX漏洞赏金活动的安全顾问，对MDEX的漏洞赏金活动提供专业意见和指导。经过MDEX确认的全部漏洞报告，都将会通过安全顾问的复核。对于有效的漏洞报告，我们将在邮件答复后，15天内确定漏洞等级并给予相应的奖励。

　　

　　

蜂巢财经：为漏洞赏金计划提供的奖励预算总共有多少？奖励是如何分配的？

　　

　　

Sky: 参与此次合约漏洞赏金计划的开发者将获得价值为6000 USDT到60000 USDT不等的MDX,奖励金额总计超过126000 USDT，所有的奖励将以MDX代币形式发放。

　　

　　

具体奖励将参考CVSS风险评级量表来评估漏洞的等级，并分配相应的奖励。除了评估风险的严重性外，还将根据发现的漏洞影响以及发现此类漏洞的难度级别来考虑奖励。

　　

　　

根据风险等级给出的奖励级别

　　

　　

安全审计仍是高质量DeFi的标配

　　

　　

　　

蜂巢财经：MDEX目前已经在多个链上部署，有诸多合约会与MDEX交互，你们怎么看待那些有潜在漏洞的项目与MDEX交互时带来的风险问题？你们怎么防范？用户怎么预防？

　　

　　

Sky: 在DeFi大潮流下，锁定在区块链领域里的资产愈发庞大。隐藏在计算机背后的危机也随着Defi的发展日益展露出狰狞的面目。

　　

　　

安全审计现在已经是高质量DeFi项目的标配。当前DeFi项目热潮持续不减，很多项目为了抓住热点与机遇，在未经严格测试和审计的情况下便匆忙上线。智能合约当中，任何一个小bug，都可能会给项目或者投资者造成无法挽回的损失。

　　

　　

受此警示之下，MDEX平台自身已经通过了灵踪安全、慢雾科技、CERITKS三大审计机构进行的全方位安全审计，各项审计指标均优异，无任何环节需要代码更新。同时，其他诸多合约与MDEX要进行交互，我们对于项目在考核方面有相当严格标准，权威严格的审计报告是我们必要的一个环节。

　　

　　

蜂巢财经：此次漏洞赏金计划其实也算是DAO治理的一种形式，MDEX的DAO时代将从何时开始？目前有哪些计划和准备？

　　

Sky: MDEX已经公布了最新的路线图，MDEX所规划的线路会逐步实现完善，DAO计划在最新规划之内，时间不会太久，但是具体时间还需要根据团队各方面的进度来安排，大家可以留意官方消息，每一个计划和功能布局团队都会提前做一些准备。

　　

　　

DAO计划是我们的重要路径之一，MDEX将会开启董事会成员竞选计划，通过MDX投票选出21个超级董事，董事会成员可以享受发起提案、获取高额收入分红的权力，用户则可以通过MDX投票参与治理并获取相应奖励。

　　

　　

　　

　　

你认为「漏洞赏金」这种方式对DeFi安防有效吗？