Uniswap lance un programme de primes de 15,5 millions de dollars sur Cantina pour renforcer la sécurité

En bref

Uniswap a lancé un programme de récompense pour les bugs avec des récompenses allant jusqu'à 15,5 millions de dollars pour inciter les chercheurs à identifier les vulnérabilités de sécurité dans son protocole, ses contrats et son infrastructure associée.

Échange décentralisé (DEX) Uniswap a annoncé qu'il a lancé une nouvelle initiative de primes pour les bugs sur la plateforme de sécurité Web3 Cantina, offrant une récompense maximale de 15,5 millions de dollars.

L'initiative est destinée à motiver les chercheurs à identifier et soumettre des rapports sur les problèmes de sécurité au sein du protocole Uniswap, des sites web associés, des services backend, des portefeuilles mobiles et étendus, ainsi que l'infrastructure connexe.

Le protocole Uniswap fonctionne comme un cadre pair à pair destiné à l'échange de valeur, s'appuyant sur un ensemble de contrats intelligents permanents et non modifiables qui sont structurés pour fonctionner de manière indépendante sans nécessiter d'intermédiaires.

Le programme couvre les vulnérabilités et défauts trouvés dans les versions les plus récemment déployées des contrats Uniswap désignés, y compris les contrats de base V4, le code du contrat de routeur universel, le code du contrat Permit2, le code du contrat V3, le code du contrat UniswapX, ainsi que d'autres composants, avec le commit b619b67 des contrats v4-core spécifiés non déployés.

L'initiative offre une compensation basée sur la gravité évaluée de chaque vulnérabilité, classée comme critique, élevée, moyenne ou faible, avec des récompenses maximales correspondantes de 15,5 millions de dollars, $1 millions, 100 000 $ et 50 000 $.

Les règles de la chasse aux bugs exigent un rapport confidentiel et une conformité pour les récompenses

Selon les exigences du programme, toute vulnérabilité identifiée doit rester non divulguée au public ou à toute partie externe jusqu'à ce qu'Uniswap Labs en ait été informé, ait résolu le problème et ait accordé l'autorisation de divulgation publique.

Un rapport doit également être soumis dans les vingt-quatre heures suivant la découverte de la vulnérabilité. Une explication complète du problème augmente la probabilité de recevoir une récompense et peut augmenter le montant de la récompense. Les rapports doivent inclure des informations détaillées sur les conditions nécessaires pour reproduire le problème, les étapes requises pour le reproduire ou une preuve de concept, et les conséquences possibles si la vulnérabilité était exploitée.

Les individus qui signalent une vulnérabilité unique et précédemment inconnue qui entraîne une modification du code ou un changement de configuration, et qui maintiennent la confidentialité jusqu'à ce que le problème soit résolu, peuvent recevoir une reconnaissance publique pour leur contribution s'ils le désirent.

Pour pouvoir bénéficier d'une récompense dans le cadre du programme, les participants doivent identifier une vulnérabilité non signalée et non publique qui n'est pas déjà connue de l'équipe Uniswap Labs et qui entre dans le champ défini. Tous les KYC et documents justificatifs demandés doivent être fournis. L'éligibilité nécessite d'être le premier à soumettre la vulnérabilité unique tout en respectant les règles de divulgation du programme, en fournissant suffisamment de détails pour que les ingénieurs puissent reproduire et corriger le problème, et en s'abstenu d'exploiter la vulnérabilité à d'autres fins que de recevoir une récompense par le biais du programme.

Les participants doivent éviter de publier ou d'utiliser la vulnérabilité en dehors des rapports confidentiels, éviter des actions qui compromettent la vie privée, endommagent des données ou perturbent des actifs dans le champ d'application, et ne doivent pas soumettre des problèmes qui découlent de la même cause sous-jacente qu'un problème précédemment récompensé. La divulgation de la vulnérabilité ne doit pas impliquer un comportement illégal, y compris des comportements coercitifs ou menaçants.

De plus, les participants doivent avoir atteint l'âge de la majorité, ne doivent pas être situés dans des régions soumises à des sanctions commerciales ou économiques américaines ou où la participation est interdite, et ne doivent pas être des employés, fournisseurs ou entrepreneurs actuels ou anciens ayant contribué au code pertinent. Une conformité totale avec toutes les règles du programme, y compris les restrictions sur les actions interdites, est requise.