Uniswap lanza un programa de recompensas de $15.5M en Cantina para fortalecer la seguridad

En breve

Uniswap ha lanzado un programa de recompensas por errores con recompensas de hasta $15.5 millones para incentivar a los investigadores a identificar vulnerabilidades de seguridad en su protocolo, contratos e infraestructura relacionada.

El intercambio descentralizado (DEX) Uniswap anunció que ha introducido una nueva iniciativa de recompensas por errores en la plataforma de seguridad Web3 Cantina, ofreciendo una recompensa máxima de $15.5 millones.

La iniciativa está destinada a motivar a los investigadores a identificar y presentar informes sobre problemas de seguridad dentro del protocolo Uniswap, sitios web asociados, servicios de backend, billeteras móviles y extendidas, y la infraestructura relacionada.

El protocolo Uniswap opera como un marco peer-to-peer destinado a intercambiar valor, basándose en una colección de contratos inteligentes permanentes y no actualizables que están estructurados para funcionar de manera independiente sin requerir intermediarios.

El programa cubre vulnerabilidades y defectos encontrados en las versiones más recientemente desplegadas de los contratos designados de Uniswap, incluidos los Contratos Core V4, el Código del Contrato del Enrutador Universal, el Código del Contrato Permit2, el Código del Contrato V3, el Código del Contrato UniswapX, así como otros componentes, junto con el commit b619b67 de los contratos v4-core especificados que no han sido desplegados.

La iniciativa proporciona compensación basada en la gravedad evaluada de cada vulnerabilidad, categorizada como crítica, alta, media o baja, con recompensas máximas correspondientes de $15.5 millones, $1 millón, $100,000 y $50,000.

Las reglas del programa de recompensas por errores requieren informes confidenciales y cumplimiento para recompensas

De acuerdo con los requisitos del programa, cualquier vulnerabilidad identificada debe permanecer no divulgada al público o a cualquier parte externa hasta que Uniswap Labs haya sido informada, haya resuelto el problema y haya otorgado aprobación para la divulgación pública.

También se debe presentar un informe dentro de las veinticuatro horas posteriores al descubrimiento de la vulnerabilidad. Una explicación completa del problema aumenta la probabilidad de recibir una recompensa y puede aumentar el monto de la recompensa. Los informes deben incluir información detallada sobre las condiciones necesarias para reproducir el problema, los pasos requeridos para replicarlo o una prueba de concepto, y las posibles consecuencias si la vulnerabilidad fuera explotada.

Las personas que informen sobre una vulnerabilidad única y previamente desconocida que conduzca a una modificación del código o un cambio de configuración, y que mantengan la confidencialidad hasta que se haya abordado el problema, pueden recibir reconocimiento público por su contribución si así lo desean.

Para calificar para una recompensa bajo el programa, los participantes deben identificar una vulnerabilidad previamente no informada y no pública que no sea conocida por el equipo de Uniswap Labs y que se encuentre dentro del alcance definido. Se debe proporcionar toda la KYC solicitada y la documentación de apoyo. La elegibilidad requiere ser el primero en presentar la vulnerabilidad única, siguiendo las reglas de divulgación del programa, suministrando suficiente detalle para que los ingenieros puedan reproducir y corregir el problema, y absteniéndose de explotar la vulnerabilidad para cualquier propósito que no sea recibir una recompensa a través del programa.

Los participantes deben evitar publicitar o utilizar la vulnerabilidad fuera de la notificación confidencial, evitar acciones que comprometan la privacidad, dañen los datos o interrumpan cualquier activo dentro del alcance, y no deben presentar problemas que provengan de la misma causa subyacente que uno previamente recompensado. La divulgación de la vulnerabilidad no debe implicar conductas ilegales, incluyendo conductas coercitivas o amenazantes.

Además, los participantes deben alcanzar la mayoría de edad, no deben estar ubicados en regiones sujetas a sanciones comerciales o económicas de EE. UU. o donde la participación esté prohibida, y no deben ser empleados, proveedores o contratistas actuales o anteriores que hayan contribuido al código relevante. Se requiere el cumplimiento total de todas las reglas del programa, incluidas las restricciones sobre acciones prohibidas.