Uniswap lance un programme de primes aux bogues de 15.5 millions de dollars sur Cantina pour renforcer sa sécurité

Échange décentralisé (DEX) Uniswap a annoncé avoir lancé une nouvelle initiative de primes aux bogues sur le Web3 plateforme de sécurité établissement vinicole , offrant une récompense maximale de 15.5 millions de dollars. 

Cette initiative vise à inciter les chercheurs à identifier et à soumettre des rapports sur les problèmes de sécurité au sein du protocole Uniswap, des sites web associés, des services backend, des portefeuilles mobiles et étendus, et de l'infrastructure connexe. 

Le protocole Uniswap fonctionne comme un cadre pair-à-pair destiné à l'échange de valeur, s'appuyant sur un ensemble de contrats intelligents permanents et non évolutifs, structurés pour fonctionner indépendamment sans nécessiter d'intermédiaires.

Le programme couvre les vulnérabilités et les défauts trouvés dans les versions les plus récemment déployées des contrats Uniswap désignés, y compris les contrats V4 Core, le code du contrat Universal Router, le code du contrat Permit2, le code du contrat V3, le code du contrat UniswapX, ainsi que d'autres composants, ainsi que le commit b619b67 des contrats v4-core non déployés spécifiés. 

L'initiative prévoit une compensation en fonction de la gravité évaluée de chaque vulnérabilité, classée comme critique, élevée, moyenne ou faible, avec des récompenses maximales correspondantes de 15.5 millions de dollars, 1 million de dollars, 100 000 dollars et 50 000 dollars.

Les règles du programme de primes aux bogues exigent un signalement confidentiel et le respect des règles pour l'obtention des récompenses.

Conformément aux exigences du programme, toute vulnérabilité identifiée doit rester confidentielle et ne doit être divulguée à aucun tiers tant qu'Uniswap Labs n'en a pas été informé, n'a pas résolu le problème et n'a pas donné son accord pour la divulgation publique. 

Un rapport doit être soumis dans les 24 heures suivant la découverte de la vulnérabilité. Une description détaillée du problème augmente les chances d'obtenir une récompense et peut en accroître le montant. Les rapports doivent inclure des informations précises sur les conditions nécessaires à la reproduction du problème, les étapes requises pour le reproduire ou une preuve de concept, ainsi que les conséquences possibles de son exploitation. 

Les personnes qui signalent une vulnérabilité unique et jusqu'alors inconnue qui entraîne une modification du code ou un changement de configuration, et qui maintiennent la confidentialité jusqu'à ce que le problème soit résolu, peuvent recevoir une reconnaissance publique pour leur contribution si elles le souhaitent.

Pour être éligibles à une récompense dans le cadre de ce programme, les participants doivent identifier une vulnérabilité non signalée et non publique, inconnue de l'équipe Uniswap Labs et relevant du domaine d'application suivant : defiLe programme est limité dans son périmètre. Tous les documents KYC et justificatifs requis doivent être fournis. Pour être éligible, il faut être le premier à soumettre la vulnérabilité unique tout en respectant les règles de divulgation du programme, en fournissant suffisamment de détails pour permettre aux ingénieurs de reproduire et de corriger le problème, et en s'abstenant d'exploiter la vulnérabilité à d'autres fins que l'obtention d'une récompense dans le cadre du programme. 

Les participants doivent s'abstenir de divulguer ou d'exploiter la vulnérabilité en dehors du cadre de rapports confidentiels, d'entreprendre toute action susceptible de compromettre la confidentialité, d'endommager des données ou de perturber des actifs concernés, et de soumettre des problèmes ayant la même cause sous-jacente qu'un problème déjà récompensé. La divulgation de la vulnérabilité ne doit en aucun cas impliquer de comportement illégal, notamment de coercition ou de menace. 

De plus, les participants doivent être majeurs, ne pas résider dans des régions soumises à des sanctions commerciales ou économiques américaines ou où la participation est interdite, et ne doivent pas être des employés, fournisseurs ou sous-traitants actuels ou anciens ayant contribué au code concerné. Le respect intégral de toutes les règles du programme, y compris les restrictions relatives aux actions interdites, est obligatoire.