Uniswap startet ein Bug-Bounty-Programm im Wert von 15.5 Millionen US-Dollar auf Cantina, um die Sicherheit zu stärken.

Dezentraler Austausch (DEX) Uniswap kündigte an, eine neue Bug-Bounty-Initiative eingeführt zu haben. Web3 Sicherheitsplattform Keller und bietet eine maximale Belohnung von 15.5 Millionen Dollar an. 

Die Initiative soll Forscher dazu anregen, Sicherheitsprobleme innerhalb des Uniswap-Protokolls, zugehöriger Websites, Backend-Dienste, mobiler und erweiterter Wallets sowie der dazugehörigen Infrastruktur zu identifizieren und Berichte darüber einzureichen. 

Das Uniswap-Protokoll fungiert als Peer-to-Peer-Framework für den Wertetausch und basiert auf einer Sammlung permanenter und nicht aktualisierbarer Smart Contracts, die so strukturiert sind, dass sie unabhängig voneinander ohne Zwischenhändler funktionieren.

Das Programm deckt Schwachstellen und Fehler ab, die in den zuletzt bereitgestellten Versionen bestimmter Uniswap-Verträge gefunden wurden, darunter V4 Core Contracts, der Universal Router Contract Code, der Permit2 Contract Code, der V3 Contract Code, der UniswapX Contract Code sowie andere Komponenten, zusammen mit dem Commit b619b67 der angegebenen nicht bereitgestellten v4-core-Verträge. 

Die Initiative sieht eine Entschädigung vor, die sich nach dem ermittelten Schweregrad jeder Schwachstelle richtet und in die Kategorien kritisch, hoch, mittel oder niedrig eingeteilt wird, mit entsprechenden Höchstbeträgen von 15.5 Millionen US-Dollar, 1 Million US-Dollar, 100,000 US-Dollar und 50,000 US-Dollar.

Bug-Bounty-Regeln erfordern vertrauliche Berichterstattung und Einhaltung der Vorschriften für Belohnungen.

Gemäß den Programmrichtlinien muss jede identifizierte Sicherheitslücke bis zur Benachrichtigung von Uniswap Labs, der Behebung des Problems und der Genehmigung zur Veröffentlichung geheim gehalten werden. 

Innerhalb von 24 Stunden nach Entdeckung der Sicherheitslücke muss ein Bericht eingereicht werden. Eine umfassende Beschreibung des Problems erhöht die Wahrscheinlichkeit einer Belohnung und kann deren Höhe erhöhen. Berichte sollten detaillierte Informationen zu den Bedingungen für die Reproduktion des Problems, den erforderlichen Schritten zur Nachbildung oder einem Machbarkeitsnachweis sowie den möglichen Folgen einer Ausnutzung der Sicherheitslücke enthalten. 

Personen, die eine einzigartige und bisher unbekannte Sicherheitslücke melden, die zu einer Änderung des Codes oder der Konfiguration führt, und die Vertraulichkeit wahren, bis das Problem behoben ist, können auf Wunsch für ihren Beitrag öffentlich gewürdigt werden.

Um im Rahmen des Programms eine Belohnung zu erhalten, müssen die Teilnehmer eine bisher nicht gemeldete und nicht öffentliche Sicherheitslücke identifizieren, die dem Uniswap Labs-Team noch nicht bekannt ist und in den Bereich fällt, defiDer Umfang der Teilnahme ist begrenzt. Alle angeforderten KYC- und Begleitdokumente müssen eingereicht werden. Teilnahmeberechtigt ist man, wenn man als Erster die einzigartige Schwachstelle meldet und dabei die Offenlegungsregeln des Programms einhält, genügend Details bereitstellt, damit die Entwickler das Problem reproduzieren und beheben können, und die Schwachstelle nicht für andere Zwecke als den Erhalt einer Belohnung im Rahmen des Programms ausnutzt. 

Teilnehmer dürfen die Schwachstelle nicht außerhalb der vertraulichen Meldung veröffentlichen oder nutzen, keine Handlungen vornehmen, die die Privatsphäre gefährden, Daten beschädigen oder Systeme im Geltungsbereich beeinträchtigen, und dürfen keine Probleme melden, die auf derselben Ursache beruhen wie ein bereits prämiertes Problem. Die Offenlegung der Schwachstelle darf kein rechtswidriges Verhalten beinhalten, insbesondere keine Nötigung oder Bedrohung. 

Darüber hinaus müssen die Teilnehmer volljährig sein, dürfen sich nicht in Regionen aufhalten, die US-Handels- oder Wirtschaftssanktionen unterliegen oder in denen die Teilnahme verboten ist, und dürfen weder aktuelle noch ehemalige Mitarbeiter, Lieferanten oder Auftragnehmer sein, die zum relevanten Code beigetragen haben. Die vollständige Einhaltung aller Programmregeln, einschließlich der Beschränkungen verbotener Handlungen, ist erforderlich.