Uniswap запускает программу вознаграждений на сумму 15,5 миллиона долларов на Cantina для усиления безопасности

Кратко

Uniswap запустил программу вознаграждений за нахождение ошибок с вознаграждениями до 15,5 миллиона долларов, чтобы стимулировать исследователей выявлять уязвимости безопасности в своем протоколе, контрактах и сопутствующей инфраструктуре.

Децентрализованная биржа (DEX) Uniswap объявила, что она запустила новую инициативу по вознаграждению за обнаружение ошибок на платформе безопасности Web3 Cantina, предлагая максимальную награду в размере 15,5 миллиона долларов.

Инициатива направлена на то, чтобы побудить исследователей выявлять и представлять отчеты о проблемах безопасности в протоколе Uniswap, связанных веб-сайтах, бэкенд-сервисах, мобильных и расширенных кошельках, а также в сопутствующей инфраструктуре.

Протокол Uniswap функционирует как одноранговая структура, предназначенная для обмена ценностью, полагаясь на набор постоянных и не подлежащих обновлению смарт-контрактов, которые структурированы так, чтобы работать независимо, не требуя посредников.

Программа охватывает уязвимости и дефекты, обнаруженные в наиболее недавно развернутых версиях назначенных контрактов Uniswap, включая основные контракты V4, код контракта универсального маршрутизатора, код контракта Permit2, код контракта V3, код контракта UniswapX, а также другие компоненты, наряду с коммитом b619b67 указанных неразвернутых контрактов v4-core.

Инициатива предоставляет компенсацию на основе оцененной степени серьезности каждой уязвимости, классифицированной как критическая, высокая, средняя или низкая, с соответствующими максимальными вознаграждениями в размере 15,5 миллиона долларов, $1 миллиона, 100 000 долларов и 50 000 долларов.

Правила программы вознаграждения за обнаружение ошибок требуют конфиденциального сообщения и соблюдения условий для получения вознаграждений

Согласно требованиям программы, любые выявленные уязвимости должны оставаться недоступными для общественности или для любой внешней стороны до тех пор, пока Uniswap Labs не будет информирована, не решит проблему и не даст разрешение на публичное раскрытие.

Отчет также должен быть представлен в течение двадцати четырех часов с момента обнаружения уязвимости. Подробное объяснение проблемы увеличивает вероятность получения вознаграждения и может повысить сумму вознаграждения. Отчеты должны включать подробную информацию о условиях, необходимых для воспроизведения проблемы, шаги, необходимые для ее воспроизведения или доказательство концепции, а также возможные последствия, если уязвимость будет использована.

Лица, которые сообщают о уникальной и ранее неизвестной уязвимости, которая приводит к изменению кода или изменению конфигурации, и которые соблюдают конфиденциальность до тех пор, пока проблема не будет решена, могут получить публичное признание за свой вклад, если этого пожелают.

Для того чтобы получить вознаграждение в рамках программы, участники должны выявить ранее не сообщенную и не публичную уязвимость, которая не известна команде Uniswap Labs и попадает в определенный объем. Необходимо предоставить все запрашиваемые KYC и сопроводительные документы. Для участия необходимо первым сообщить о уникальной уязвимости, следуя правилам раскрытия программы, предоставив достаточно подробностей, чтобы инженеры могли воспроизвести и исправить проблему, и воздерживаться от эксплуатации уязвимости в любых целях, кроме получения вознаграждения через программу.

Участники должны избегать публичного раскрытия или использования уязвимости вне рамок конфиденциальной отчетности, избегать действий, которые компрометируют конфиденциальность, наносят ущерб данным или нарушают какие-либо активы в рамках, и не должны подавать проблемы, возникающие из той же основной причины, что и ранее вознагражденные. Раскрытие уязвимости не должно включать незаконное поведение, включая принуждение или угрожающие действия.

Кроме того, участники должны достичь совершеннолетия, не должны находиться в регионах, подверженных торговым или экономическим санкциям США, или в местах, где участие запрещено, а также не должны быть нынешними или бывшими сотрудниками, поставщиками или подрядчиками, которые внесли вклад в соответствующий код. Полное соблюдение всех правил программы, включая ограничения на запрещенные действия, обязательно.