Uniswap Lança Programa de recompensas de $15,5M na Cantina para Fortalecer a Segurança

Em Resumo

A Uniswap lançou um programa de recompensas por bugs com recompensas de até 15,5 milhões de dólares para incentivar pesquisadores a identificar vulnerabilidades de segurança em seu protocolo, contratos e infraestrutura relacionada.

A bolsa descentralizada (DEX) Uniswap anunciou que introduziu uma nova iniciativa de recompensas por bugs na plataforma de segurança Web3 Cantina, oferecendo uma recompensa máxima de $15,5 milhões.

A iniciativa destina-se a motivar os investigadores a identificar e submeter relatórios sobre questões de segurança dentro do protocolo Uniswap, websites associados, serviços de backend, carteiras móveis e estendidas, e infraestrutura relacionada.

O protocolo Uniswap opera como uma estrutura peer-to-peer destinada à troca de valor, dependendo de uma coleção de contratos inteligentes permanentes e não atualizáveis que são estruturados para funcionar de forma independente sem exigir intermediários.

O programa abrange vulnerabilidades e defeitos encontrados nas versões mais recentemente implantadas dos contratos designados da Uniswap, incluindo os Contratos Core V4, o Código do Contrato do Roteador Universal, o Código do Contrato Permit2, o Código do Contrato V3, o Código do Contrato UniswapX, bem como outros componentes, juntamente com o commit b619b67 dos contratos v4-core não implantados especificados.

A iniciativa oferece compensação com base na gravidade avaliada de cada vulnerabilidade, categorizada como crítica, alta, média ou baixa, com recompensas máximas correspondentes de 15,5 milhões de dólares, $1 milhões, 100.000 dólares e 50.000 dólares.

As Regras do Bug Bounty Exigem Relato Confidencial e Conformidade para Recompensas

De acordo com os requisitos do programa, qualquer vulnerabilidade identificada deve permanecer não divulgada ao público ou a qualquer parte externa até que a Uniswap Labs tenha sido informada, tenha resolvido o problema e tenha dado aprovação para a divulgação pública.

Um relatório também deve ser submetido dentro de vinte e quatro horas após a descoberta da vulnerabilidade. Uma explicação abrangente do problema aumenta a probabilidade de receber uma recompensa e pode aumentar o valor da recompensa. Os relatórios devem incluir informações detalhadas sobre as condições necessárias para reproduzir o problema, os passos necessários para replicá-lo ou uma prova de conceito, e as possíveis consequências se a vulnerabilidade fosse explorada.

Indivíduos que reportam uma vulnerabilidade única e previamente desconhecida que leva a uma modificação do código ou uma alteração de configuração, e que mantêm a confidencialidade até que o problema seja resolvido, podem receber reconhecimento público pela sua contribuição, se o desejarem.

Para se qualificar para uma recompensa no âmbito do programa, os participantes devem identificar uma vulnerabilidade previamente não relatada e não pública que não seja já conhecida pela equipe da Uniswap Labs e que se enquadre no escopo definido. Toda a KYC solicitada e a documentação de apoio devem ser fornecidas. A elegibilidade requer ser o primeiro a submeter a vulnerabilidade única, seguindo as regras de divulgação do programa, fornecendo detalhes suficientes para que os engenheiros possam reproduzir e corrigir o problema, e abstendo-se de explorar a vulnerabilidade para qualquer propósito que não seja receber uma recompensa através do programa.

Os participantes devem evitar a divulgação ou o uso da vulnerabilidade fora do relatório confidencial, evitar ações que comprometam a privacidade, danifiquem dados ou interrompam quaisquer ativos em escopo, e não devem submeter problemas que resultem da mesma causa subjacente de um anteriormente recompensado. A divulgação da vulnerabilidade não deve envolver comportamento ilegal, incluindo conduta coercitiva ou ameaçadora.

Além disso, os participantes devem ter a idade da maioridade, não devem estar localizados em regiões sujeitas a sanções comerciais ou econômicas dos EUA ou onde a participação seja proibida, e não devem ser funcionários, fornecedores ou contratantes atuais ou antigos que contribuíram para o código relevante. A conformidade total com todas as regras do programa, incluindo restrições a ações proibidas, é obrigatória.