Uniswap запускает программу вознаграждения за обнаруженные ошибки на сумму 15.5 млн долларов в Cantina для усиления безопасности

Децентрализованная биржа (DEX) Uniswap объявила о запуске новой инициативы по вознаграждению за ошибки Web3 платформа безопасности винный завод , предлагая максимальное вознаграждение в размере 15.5 миллионов долларов. 

Целью инициативы является мотивировать исследователей выявлять и представлять отчеты о проблемах безопасности в протоколе Uniswap, связанных с ним веб-сайтах, внутренних службах, мобильных и расширенных кошельках, а также связанной инфраструктуре. 

Протокол Uniswap функционирует как одноранговая структура, предназначенная для обмена ценностями, полагаясь на набор постоянных и необновляемых смарт-контрактов, которые структурированы для работы независимо друг от друга без необходимости участия посредников.

Программа охватывает уязвимости и дефекты, обнаруженные в самых последних развернутых версиях указанных контрактов Uniswap, включая контракты V4 Core, код контракта универсального маршрутизатора, код контракта Permit2, код контракта V3, код контракта UniswapX, а также другие компоненты, включая фиксацию b619b67 указанных неразвернутых контрактов v4-core. 

Инициатива предусматривает выплату компенсации на основе оценки серьезности каждой уязвимости, которая классифицируется как критическая, высокая, средняя или низкая, с соответствующими максимальными вознаграждениями в размере 15.5 млн долларов США, 1 млн долларов США, 100 000 долларов США и 50 000 долларов США.

Правила программы вознаграждений за обнаруженные ошибки требуют конфиденциального сообщения об ошибках и соблюдения правил для получения вознаграждений

Согласно требованиям программы, любая выявленная уязвимость должна оставаться неразглашенной общественности или какой-либо третьей стороне до тех пор, пока Uniswap Labs не будет проинформирована, не решит проблему и не даст одобрение на публичное раскрытие информации. 

Отчёт также необходимо предоставить в течение 24 часов с момента обнаружения уязвимости. Подробное описание проблемы увеличивает вероятность получения вознаграждения и может увеличить его размер. Отчёты должны включать подробную информацию об условиях, необходимых для воспроизведения проблемы, действиях, необходимых для её воспроизведения или подтверждения концепции, а также о возможных последствиях эксплуатации уязвимости. 

Лица, сообщающие об уникальной и ранее неизвестной уязвимости, которая приводит к изменению кода или конфигурации, и сохраняющие конфиденциальность до тех пор, пока проблема не будет устранена, при желании могут получить публичное признание за свой вклад.

Чтобы получить вознаграждение в рамках программы, участники должны указать ранее не зарегистрированную и непубличную уязвимость, которая еще не известна команде Uniswap Labs и попадает под действие defiНеобходимый объем работ. Необходимо предоставить всю запрошенную информацию KYC и подтверждающую документацию. Для участия необходимо первым сообщить об уникальной уязвимости, соблюдая правила раскрытия информации программы, предоставляя достаточно информации, чтобы инженеры могли воспроизвести и исправить проблему, и воздерживаясь от эксплуатации уязвимости в каких-либо целях, кроме получения вознаграждения в рамках программы. 

Участники должны избегать публикации или использования уязвимости за пределами конфиденциальных отчетов, избегать действий, нарушающих конфиденциальность, повреждающих данные или нарушающих работу любых активов в рамках проекта, а также не сообщать о проблемах, имеющих ту же причину, что и ранее полученное вознаграждение. Раскрытие информации об уязвимости не должно сопровождаться противоправным поведением, включая принуждение или угрозы. 

Кроме того, участники должны достичь совершеннолетия, не должны находиться в регионах, подпадающих под торговые или экономические санкции США, или где участие запрещено, и не должны быть действующими или бывшими сотрудниками, поставщиками или подрядчиками, участвовавшими в разработке соответствующего кодекса. Требуется полное соблюдение всех правил программы, включая ограничения на запрещённые действия.