Segurança não é um marco, mas deve ser uma propriedade de longo prazo que cada sistema deve manter continuamente.
Com o lançamento do módulo funcional Fira UZR (Empréstimos a Zero Juros Usual) na rede principal do Ethereum, o Usual Labs expandiu seu programa de recompensas por vulnerabilidades existente para refletir a importância deste mercado de empréstimos dentro do ecossistema Usual. O UZR é um módulo funcional de empréstimo a taxa fixa, através do qual os usuários podem fornecer bUSD0 como garantia para pegar emprestado USD0 a uma taxa de juros fixa de 0,1%, com uma taxa de serviço anual de 0,1%. Ele substituiu o sistema de Empréstimos de Estabilidade Usual (USL) baseado em Euler, migrando liquidez para a infraestrutura própria do Usual.
Este programa de recompensas por vulnerabilidades foca em identificar falhas de segurança e integridade que possam afetar a segurança dos fundos e a integridade geral do protocolo, presentes em contratos inteligentes Fira UZR e seus componentes críticos. Apenas contratos inteligentes já implantados na rede principal Ethereum e os listados abaixo são elegíveis para recompensas.
Os contratos incluídos são:
Mercado de empréstimos UZR (Fira UZR Vault)
Adaptador de oráculo do cofre UZR (UZR Vault Oracle Adapter)
Cofre Sisu de acesso restrito (cofre colateral bUSD0 / bUSD0 collateral vault)
Oráculo USD0 / bUSD0 e seu mecanismo de preço de fallback suportado (Stale Feed)
Modelo de taxa de juros fixa (The Fixed-Rate Interest Rate Model)
Estes contratos foram verificados pelo Etherscan e usam um modelo de proxy transparente, permitindo que pesquisadores revisem diretamente a lógica de implementação.
Contratos de natureza parcialmente suportada (como USL Helper Migrator, Sisu Vault Factory e ChainlinkOracleV2 Factor y) também estão dentro do escopo, mas apenas vulnerabilidades de alta ou média severidade são elegíveis para recompensas.
Outras partes do protocolo Usual, incluindo o contrato principal USD0, contratos de governança e cofres fora do UZR, estão claramente excluídos do escopo deste programa de recompensas. Qualquer código relacionado ao antigo sistema USL na Euler também não está dentro do escopo deste programa de recompensas.
Severidade das vulnerabilidades e mecanismos de recompensa
O programa de recompensas por vulnerabilidades classifica as falhas em três níveis diferentes de severidade: Crítica, Alta e Média.
Severidade Crítica: Resulta em perdas financeiras significativas ou pode levar à imobilização irreversível de fundos em um nível sistêmico, sem depender de condições extremas ou externas. Geralmente, problemas que afetam 5% ou mais do TVL se enquadram nesta categoria. Apenas falhas presentes em contratos inteligentes críticos são elegíveis para este nível.
Vulnerabilidades de severidade crítica podem solicitar recompensas de até $7.5 milhões, com um máximo de 10% do total de fundos afetados no momento da submissão. Problemas críticos verificados têm recompensas mínimas de $200 mil.
Severidade Alta: Refere-se a problemas que podem levar a perdas ou congelamentos significativos de fundos, geralmente com uma proporção pequena do TVL afetado (cerca de 1%–5%), ou que exigem certas condições improváveis para serem explorados. Também inclui abusos de contratos inteligentes de nível secundário que causam grandes perdas econômicas.
Severidade Média: Inclui falhas que podem resultar em perda de fundos de usuários individuais ou em bloqueios permanentes de fundos, ou que em cenários limitados reduzem a segurança ou afetam a disponibilidade geral.
Os valores das recompensas para severidades Alta e Média são determinados a critério das autoridades e com base em circunstâncias específicas. Todos os relatórios são classificados e avaliados pela equipe de segurança Sherlock, que faz a determinação final sobre a validade e severidade.
Problemas de baixo risco, como problemas Baixos ou Informacionais, não atendem aos critérios de recompensa.
Escopo das recompensas e itens excluídos
Este programa de recompensas cobre apenas os módulos Fira UZR e contratos relacionados que são de propriedade e estão implantados na rede principal Ethereum pela Usual Labs.
O seguinte não está incluído no escopo do programa de recompensas:
Código não implantado ou que existe apenas em rede de testes
Problemas conhecidos em auditorias passadas
Vulnerabilidades de front-end, UI ou site
Integração de terceiros e protocolos externos
Falha de oráculo externo ou processos off-chain
Risco de ativos do mundo real (RWA) ou riscos legais
Operações administrativas ou de governança intencionais
Comportamento esperado do protocolo (como liquidações forçadas na data de vencimento do bUSD0)
Problemas mínimos de otimização de Gas ou arredondamento
Violação de segurança ou ataque teórico irrealista
Manipulação econômica ou de mercado sem falhas de código
Risco de plataformas de terceiros
Problemas que existem apenas na documentação
Se um problema só pode ser acionado por regras de protocolo ou ações administrativas esperadas, não é considerado uma vulnerabilidade.
Divulgação responsável
Todas as submissões de problemas devem cumprir as regras da plataforma de auditoria Sherlock e a política de Safe Harbor.
Vulnerabilidades críticas não podem ser divulgadas ao público antes de ocorrer o seguinte:
Usual Labs foi notificada e confirmou o problema
Medidas corretivas ou mitigadoras foram implantadas
Obtenha permissão clara para divulgar ao público
Os pesquisadores deverão relatar problemas dentro de 24 horas após a descoberta. Qualquer uso do exploit para fins além da demonstração, ou tentativas de lucrar com a vulnerabilidade, resultarão na desqualificação da participação no programa de recompensas.
Os testes devem ser realizados apenas em ambientes locais ou em forks da rede principal. Testes destrutivos na rede principal não são permitidos.
Aplicabilidade
Os participantes devem seguir o seguinte:
Não é um alvo de sanções internacionais
Não está vinculado à Usual Labs ou à equipe de desenvolvimento da Fira
Capacidade legal para participar
Nunca foi auditado oficialmente por um pagamento
Concordo em cumprir todas as regras do programa
A elegibilidade pode ser verificada, e a violação das regras pode resultar na desqualificação da participação.
Importância do programa de recompensas por vulnerabilidades
O UZR agora opera como um módulo funcional na rede principal com fundos reais e usuários reais. Embora tenha passado por múltiplas auditorias, a auditoria é apenas uma base, não um fim.
A existência deste programa de recompensas alinha incentivos e realidade: melhorias reais só podem ocorrer quando o sistema é auditado em um ambiente público e transparente, sob regras claras, e as recompensas são proporcionais ao risco.
Se você é especialista em segurança de contratos inteligentes, design de oráculos de preços ou sistemas de empréstimos a taxa fixa, convidamos você a revisar as instalações que já foram implantadas por meio deste programa de recompensas, e gerar um impacto real.
Quanto mais profunda a revisão, mais sólida a segurança.