区块链安全服务公司 PeckShield 派盾 DeFi 安全事件统计显示，截至 2021 年 5 月 31 日，今年 DeFi 安全事件达到 48 余起，造成损失约 5 亿美元。成都链安数据显示，仅今年 5 月，典型安全事件超 32 起，DeFi 板块是安全事故「重灾区」。

连环爆出的安全事件引起用户担忧，去中心化交易平台 MDEX 率先加固防线——从社区激励计划中，拿出价值超 12.6 万 U 的治理代币 MDX，发起漏洞赏金计划。

6 月 18 日，针对 MDEX 漏洞赏金计划的目的和流程，蜂巢财经对话该平台的开发团队 CTO Sky，他表示，希望通过本次活动让更多的业内安全研究人员，以此为桥梁参与到 MDEX 生态的共建中来，共同捍卫 MDEX 生态参与者的资产及交易安全。

「漏洞赏金计划」先从核心合约开始

蜂巢财经：什么推动了 MDEX 开启漏洞赏金计划？开启漏洞赏金计划前，MDEX 主要借助哪些力量来保障合约安全？

Sky:MDEX 上线至今已安全平稳运营 5 个月，随着 MDEX 的功能逐渐完善，支持的区块链底层也由初始的 HECO 增加拓展 BSC、ETH 以及未来将会支持更多的底层资产加入到 MDEX 生态中来。

为了 MDEX 的生态稳健成长以及在成长的路上持续保障用户的资产安全、交易安全，MDEX 现推出漏洞赏金计划。希望通过本次活动让更多的业内安全研究人员，以此为桥梁参与到 MDEX 生态的共建中来，共同捍卫 MDEX 生态参与者的资产及交易安全。

MDEX 一直致力于成为集成 DEX，IMO 和 DAO 的 CompoundDeFi 生态系统的目标，其智能合约和基于区块链的协议的安全性和正确性将始终处于首要位置。在赏金计划之前，MDEX 就已经通过了灵踪安全、慢雾科技、CERITKS 三大审计机构审计。

蜂巢财经：漏洞赏金主要面对哪些 MDEX 的合约？

Sky:计划仅限于 MDEX 的核心合约和外围合约。

其中，MDEX 核心合约包括：

• MDX 代币合约 (Heco)

• MDX 代币合约 (Bsc)

• MDX 质押挖矿合约 (Heco)

• MDX 质押挖矿合约 (Bsc)

• MDX 交易挖矿 (Heco)

• MDX 交易挖矿 (Bsc)

MDEX 外围合约主要包括：

• 回购销毁合约 (Heco)

• 回购销毁合约 (Bsc)

• 燃烧销毁合约（Heco）

一些合约不在此次漏洞赏金计划范围内，包括与 MDEX 交互的任何第三方合约或平台中的错误；第三方在 MDEX 上构建的合约中已经报告或发现的漏洞；还有因为前端错误、DDOS 攻击、自动化工具、损害或滥用第三方系统、服务而发生活动产生的漏洞。这些都暂不计入漏洞赏金计划中。

蜂巢财经：哪类漏洞风险是 MDEX 最为看重的？

Sky:DEX 已经走入了一个新阶段，新一代的 DEX 和 CEX 慢慢处于一种相辅相成的状态，CEX 的资产容易受到黑客攻击。

同样，DEX 是存在于区块链上的智能合约 ,MDEX 作为目前 DEX 领域的核心代表之一，MDEX 始终贯彻都是以用户资产安全的为前提的宗旨，涉及到用户资产安全的合约都是我们 MDEX 所看重的。

蜂巢财经：我们能看到漏洞赏金计划还是围绕 MDEX 的核心合约展开的，未来会扩大赏金计划的适用范围吗？

Sky:我们拥有强大的创新和技术能力，为 DEX 生态贡献了巨大价值，我们期待更多优秀的开发者能够为 MDEX 的安全以及整个 DeFi 领域的安全贡献力量。

我们很高兴用如此高的奖金来推出漏洞赏金计划 , 以不断提升 MDEX 的安全水平。合约作为代码和数据的集合，合约账户能够在彼此之间传递信息，直接影响用户的资产安全，因此，我们最先以核心合约开展，这是我们赏金计划的重中之重，之后我们还会推出更多其他的赏金计划。

总计超 12.6 万美元赏金源自社区激励计划

蜂巢财经：发现漏洞后的提交流程和方式是怎样的？有哪些主要注意的事项？比如获得奖励的条件有哪些？

Sky:发现的任何漏洞或错误必须仅报告给 MDEX 的开发者邮箱（[email protected]）。向上述邮箱披露之前，不得向任何其他人、实体或电子邮件地址披露。也请发现漏洞的「赏金猎人」们尽可能多地描述漏洞信息，包括重现错误的条件是确定性的，重现错误所需的步骤，漏洞被滥用的潜在影响等等。

越详细的漏洞报告会增加奖励的可能性，并可能增加奖励金额。当然，要获得本计划的奖励，也需要符合以下条件：

• 发现以前未报告的、非公开的漏洞，该漏洞将导致 MDEX （但不是在与 MDEX 交互的任何第三方平台上）可能丢失或锁定资产，并且属于本计划的范围；

• 率先仅向 MDEX 披露的漏洞；

• 提供足够的信息，使我们的工程师能够重现和修复漏洞；

• 在向 MDEX 披露漏洞时，不得从事任何非法行为，包括：威胁、要求或任何其他强制手段；

• 不得以任何方式利用漏洞，包括通过公开或获取利润（本计划下的奖励除外）；

• 真诚地避免 MDEX 的隐私侵犯、数据破坏、中断或降级；

• 每次提交仅提交一个漏洞，除非您需要链接漏洞以提供对任何漏洞的影响；

• 不提交根据本计划已提交的相同或潜在问题引起的漏洞；

• 不是我们的现任或前任员工或供应商，也不是任何这些供应商的员工；

• 遵守该计划的所有资格要求。

蜂巢财经：MDEX 如何判断被提交的漏洞是否达标或有效？

Sky:我们非常荣幸邀请到了权威安全机构 CertiK、灵踪安全担任 MDEX 漏洞赏金活动的安全顾问，对 MDEX 的漏洞赏金活动提供专业意见和指导。经过 MDEX 确认的全部漏洞报告，都将会通过安全顾问的复核。对于有效的漏洞报告，我们将在邮件答复后，15 天内确定漏洞等级并给予相应的奖励。

蜂巢财经：为漏洞赏金计划提供的奖励预算总共有多少？奖励是如何分配的？

Sky:参与此次合约漏洞赏金计划的开发者将获得价值为 6000 USDT 到 60000 USDT 不等的 MDX, 奖励金额总计超过 126000 USDT，所有的奖励将以 MDX 代币形式发放。

具体奖励将参考 CVSS 风险评级量表来评估漏洞的等级，并分配相应的奖励。除了评估风险的严重性外，还将根据发现的漏洞影响以及发现此类漏洞的难度级别来考虑奖励。

根据风险等级给出的奖励级别

安全审计仍是高质量 DeFi 的标配

蜂巢财经：MDEX 目前已经在多个链上部署，有诸多合约会与 MDEX 交互，你们怎么看待那些有潜在漏洞的项目与 MDEX 交互时带来的风险问题？你们怎么防范？用户怎么预防？

Sky: 在 DeFi 大潮流下，锁定在区块链领域里的资产愈发庞大。隐藏在计算机背后的危机也随着 Defi 的发展日益展露出狰狞的面目。

安全审计现在已经是高质量 DeFi 项目的标配。当前 DeFi 项目热潮持续不减，很多项目为了抓住热点与机遇，在未经严格测试和审计的情况下便匆忙上线。智能合约当中，任何一个小 bug，都可能会给项目或者投资者造成无法挽回的损失。

受此警示之下，MDEX 平台自身已经通过了灵踪安全、慢雾科技、CERITKS 三大审计机构进行的全方位安全审计，各项审计指标均优异，无任何环节需要代码更新。同时，其他诸多合约与 MDEX 要进行交互，我们对于项目在考核方面有相当严格标准，权威严格的审计报告是我们必要的一个环节。

蜂巢财经：此次漏洞赏金计划其实也算是 DAO 治理的一种形式，MDEX 的 DAO 时代将从何时开始？目前有哪些计划和准备？

**
**Sky: MDEX 已经公布了最新的路线图，MDEX 所规划的线路会逐步实现完善，DAO 计划在最新规划之内，时间不会太久，但是具体时间还需要根据团队各方面的进度来安排，大家可以留意官方消息，每一个计划和功能布局团队都会提前做一些准备。

DAO 计划是我们的重要路径之一，MDEX 将会开启董事会成员竞选计划，通过 MDX 投票选出 21 个超级董事，董事会成员可以享受发起提案、获取高额收入分红的权力，用户则可以通过 MDX 投票参与治理并获取相应奖励。

你认为「漏洞赏金」这种方式对 DeFi 安防有效吗？

! 总悬赏超 12.6 万美元 MDEX 漏洞赏金如何拿？! 总悬赏超 12.6 万美元 MDEX 漏洞赏金如何拿？