Uniswap ra mắt chương trình Bug Bounty trị giá 15.5 triệu đô la trên Cantina để tăng cường bảo mật

Trao đổi phi tập trung (DEX) Unwwap đã công bố rằng họ đã giới thiệu một sáng kiến ​​tiền thưởng lỗi mới trên Web3 nền tảng bảo mật Cantina , đưa ra mức thưởng tối đa là 15.5 triệu đô la. 

Sáng kiến ​​này nhằm mục đích khuyến khích các nhà nghiên cứu xác định và gửi báo cáo về các vấn đề bảo mật trong giao thức Uniswap, các trang web liên quan, dịch vụ phụ trợ, ví di động và ví mở rộng cũng như cơ sở hạ tầng liên quan. 

Giao thức Uniswap hoạt động như một khuôn khổ ngang hàng nhằm mục đích trao đổi giá trị, dựa trên một tập hợp các hợp đồng thông minh vĩnh viễn và không thể nâng cấp được cấu trúc để chạy độc lập mà không cần trung gian.

Chương trình bao gồm các lỗ hổng và lỗi được tìm thấy trong các phiên bản triển khai gần đây nhất của các hợp đồng Uniswap được chỉ định, bao gồm Hợp đồng cốt lõi V4, Mã hợp đồng bộ định tuyến chung, Mã hợp đồng Permit2, Mã hợp đồng V3, Mã hợp đồng UniswapX cũng như các thành phần khác, cùng với cam kết b619b67 của các hợp đồng cốt lõi v4 chưa triển khai được chỉ định. 

Sáng kiến ​​này cung cấp khoản bồi thường dựa trên mức độ nghiêm trọng được đánh giá của từng lỗ hổng, được phân loại là nghiêm trọng, cao, trung bình hoặc thấp, với phần thưởng tối đa tương ứng là 15.5 triệu đô la, 1 triệu đô la, 100,000 đô la và 50,000 đô la.

Quy định về tiền thưởng lỗi yêu cầu báo cáo bí mật và tuân thủ để được thưởng

Theo yêu cầu của chương trình, bất kỳ lỗ hổng nào được xác định phải được giữ bí mật với công chúng hoặc bất kỳ bên thứ ba nào cho đến khi Uniswap Labs được thông báo, giải quyết vấn đề và cấp phép công bố cho công chúng. 

Báo cáo cũng phải được nộp trong vòng hai mươi bốn giờ kể từ khi phát hiện lỗ hổng. Giải thích toàn diện về vấn đề sẽ tăng khả năng nhận được phần thưởng và có thể nâng cao giá trị phần thưởng. Báo cáo nên bao gồm thông tin chi tiết về các điều kiện cần thiết để tái tạo sự cố, các bước cần thiết để tái tạo hoặc bằng chứng về khái niệm, và hậu quả có thể xảy ra nếu lỗ hổng bị khai thác. 

Những cá nhân báo cáo lỗ hổng bảo mật duy nhất và chưa từng được biết đến trước đây dẫn đến việc sửa đổi mã hoặc thay đổi cấu hình và giữ bí mật cho đến khi vấn đề được giải quyết có thể được công khai ghi nhận đóng góp của họ nếu muốn.

Để đủ điều kiện nhận phần thưởng theo chương trình, người tham gia phải xác định lỗ hổng bảo mật chưa được báo cáo và không công khai trước đó mà nhóm Uniswap Labs chưa biết và nằm trong phạm vi defiPhạm vi được xác định. Phải cung cấp tất cả thông tin KYC và tài liệu hỗ trợ theo yêu cầu. Điều kiện tham gia chương trình yêu cầu người tham gia phải là người đầu tiên báo cáo lỗ hổng bảo mật duy nhất, đồng thời tuân thủ các quy tắc công bố thông tin của chương trình, cung cấp đủ thông tin chi tiết để các kỹ sư tái tạo và khắc phục sự cố, và không khai thác lỗ hổng bảo mật cho bất kỳ mục đích nào khác ngoài việc nhận thưởng thông qua chương trình. 

Người tham gia phải tránh công khai hoặc sử dụng lỗ hổng bảo mật bên ngoài phạm vi báo cáo bí mật, tránh các hành vi xâm phạm quyền riêng tư, làm hỏng dữ liệu hoặc phá hoại bất kỳ tài sản nào trong phạm vi, và không được gửi các vấn đề bắt nguồn từ cùng một nguyên nhân cơ bản như vấn đề đã được khen thưởng trước đó. Việc tiết lộ lỗ hổng bảo mật không được liên quan đến hành vi bất hợp pháp, bao gồm hành vi ép buộc hoặc đe dọa. 

Hơn nữa, người tham gia phải đủ tuổi thành niên, không cư trú tại các khu vực chịu lệnh trừng phạt thương mại hoặc kinh tế của Hoa Kỳ hoặc nơi bị cấm tham gia, và không phải là nhân viên hiện tại hoặc trước đây, nhà cung cấp hoặc nhà thầu đã đóng góp vào bộ quy tắc liên quan. Việc tuân thủ đầy đủ tất cả các quy tắc của chương trình, bao gồm cả các hạn chế về hành vi bị cấm, là bắt buộc.