Uniswap, decentralized exchange (DEX) terbesar, telah mengumumkan bug bounty senilai US$15,5 juta untuk kerentanan dalam upgrade v4-nya. Ini mencetak rekor baru untuk bug bounty tertinggi yang pernah ditawarkan, melampaui hadiah US$15 juta dari LayerZero.
Namun, bounty ini memiliki beberapa syarat, dan Uniswap hanya akan memberikan pembayaran penuh untuk kerentanan “kritis” yang tidak melibatkan kontrak atau aplikasi pihak ketiga.
Bug Bounty Uniswap v4
Uniswap baru-baru ini menawarkan bounty besar untuk mengidentifikasi kerentanan kode. Secara khusus, perusahaan mencari kelemahan dalam upgrade v4 besar-besaran pada kemampuan intinya. Uniswap juga merilis posting blog dengan rincian lebih lanjut tentang program ini:
“Hari ini, kami dengan senang hati meluncurkan bug bounty senilai US$15,5 juta, yang terbesar dalam sejarah, untuk kerentanan yang ditemukan dalam kontrak inti Uniswap v4. Uniswap v4 sudah termasuk dalam basis kode yang paling banyak ditinjau di DeFi, dengan sembilan audit independen. Seiring dengan mendekatnya peluncuran, kami mengambil langkah ekstra untuk memastikan v4 seaman mungkin,” terang posting tersebut membaca.
Secara ketat, klaim Uniswap sebagai “bug bounty” terbesar yang pernah ada agak ambigu. Di masa lalu, beberapa platform menawarkan bounty besar kepada peretas yang berhasil, mendorong mereka untuk mengembalikan dana yang dicuri. Tahun lalu, Mixin Network menyebut US$20 juta sebagai iming-iming bagi peretas sebagai “bug bounty,” namun perusahaan sedikit menyalahgunakan istilah tersebut.
Dalam kasus ini, Uniswap hanya menawarkan pembayaran untuk mengidentifikasi kelemahan, bukan tebusan untuk benar-benar mengeksploitasinya. Dalam genre ini, tawaran US$15,5 juta dari Uniswap memang sangat besar: awal tahun ini, Solana hanya menawarkan US$1 juta untuk program serupa. Dengan kata lain, perusahaan mungkin melihat keamanan v4 yang berkelanjutan sebagai bagian integral dari kesuksesan Uniswap yang berkelanjutan.
Alternatifnya, tawaran besar ini bisa berasal dari rasa percaya diri. Seperti yang disebutkan, Uniswap melakukan sembilan audit kode independen terpisah dan mengadakan kompetisi keamanan senilai US$2,35 juta. Fortune mengklaim bahwa Uniswap memilih US$15,5 juta untuk mengungguli LayerZero, yang menawarkan bounty US$15 juta tahun lalu. Hadiah tinggi ini, kemudian, bisa jadi hanya sebuah kebanggaan.
Bagaimanapun, hadiah besar ini datang dengan syarat penting. Pertama-tama, seorang peretas tidak dapat mengklaim kerentanan dari kontrak atau aplikasi pihak ketiga mana pun, bahkan yang dikerahkan oleh Uniswap Labs. Kedua, tidak dapat mencantumkan masalah yang belum diperbaiki yang diidentifikasi oleh audit sebelumnya. Akhirnya, hanya bug “kritis” yang mendapatkan pembayaran penuh, dengan risiko lebih rendah mendapatkan antara US$1 juta dan US$100,000.
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli BeInCrypto yang berbahasa Inggris.
