Uniswapがセキュリティを強化するためにCantinaで$15.5Mの報酬プログラムを開始

概要

Uniswapは、プロトコル、契約、関連インフラストラクチャ全体のセキュリティ脆弱性を特定するために研究者を奨励するために、最大1,550万ドルの報酬を提供するバグバウンティプログラムを開始しました。

分散型取引所 (DEX) Uniswapは、Web3セキュリティプラットフォームCantinaに新しいバグバウンティイニシアチブを導入し、最大報酬が1550万ドルであることを発表しました。

このイニシアチブは、研究者がUniswapプロトコル、関連ウェブサイト、バックエンドサービス、モバイルおよび拡張ウォレット、関連インフラストラクチャ内のセキュリティ問題を特定し、報告を提出することを促すことを目的としています。

Uniswapプロトコルは、価値を交換するためのP2Pフレームワークとして機能し、仲介者を必要とせずに独立して実行されるように構築された、永続的かつアップグレード不可能なスマートコントラクトのコレクションに依存しています。

このプログラムは、V4コア契約、ユニバーサルルータ契約コード、Permit2契約コード、V3契約コード、UniswapX契約コードを含む、指定されたUniswap契約の最近展開されたバージョンで発見された脆弱性や欠陥をカバーしています。また、指定された未展開のv4-core契約のコミットb619b67も含まれます。

このイニシアチブは、各脆弱性の評価された深刻度に基づいて補償を提供します。脆弱性は、クリティカル、高、中、または低のカテゴリーに分類され、対応する最大報酬は$15.5百万、$1 百万、$100,000、および$50,000です。

バグバウンティルールは、報酬のための機密報告と遵守を必要とします

プログラムの要件に従い、特定された脆弱性は、Uniswap Labs に通知され、問題が解決され、公開開示の承認が得られるまで、一般に公開されることはありません。

脆弱性を発見してから24時間以内に報告書も提出する必要があります。問題の包括的な説明は、報酬を受け取る可能性を高め、報酬額を増加させるかもしれません。報告書には、問題を再現するために必要な条件、再現するために必要な手順、または概念実証、および脆弱性が悪用された場合の可能な結果に関する詳細情報を含めるべきです。

独自で以前は知られていなかった脆弱性を報告し、その結果コードの修正や構成変更が行われる場合、問題が解決されるまで機密性を保つ個人は、希望すれば自分の貢献に対して公に認められることがあります。

プログラムの下で報酬を受け取る資格を得るためには、参加者はUniswap Labsチームがすでに知らない、定義された範囲内にある、以前に報告されていない非公開の脆弱性を特定する必要があります。要求されるKYCおよびサポート文書はすべて提供されなければなりません。資格には、プログラムの開示ルールに従い、エンジニアが問題を再現し修正するために十分な詳細を提供し、報酬を受け取る目的以外で脆弱性を悪用しないことを条件に、ユニークな脆弱性を最初に提出することが含まれます。

参加者は、機密報告の外で脆弱性を公にすることや使用することを避け、プライバシーを侵害したり、データを損なったり、範囲内の資産を混乱させる行動を避け、以前に報酬を受けたものと同じ根本的な原因から生じる問題を提出してはなりません。脆弱性を開示することは、強要的または脅迫的な行為を含む違法な行動を伴ってはなりません。

さらに、参加者は成年に達している必要があり、米国の貿易または経済制裁の対象地域や参加が禁止されている地域に居住していてはならず、関連するコードに貢献した現在または過去の従業員、ベンダー、または請負業者であってはなりません。禁止されている行為に関する制限を含むすべてのプログラムルールを完全に遵守する必要があります。