Uniswap, einer der größten dezentralen Handelsplätze, zeigt sich großzügig: Mit einer Rekordsumme von 15,5 Millionen US-Dollar sollen „White Hat“-Hacker angelockt werden, um Schwachstellen im neuesten Protokoll Uniswap v4 aufzudecken. Der Betrag markiert den bisher größten sogenannten „Bug Bounty“ und soll sicherstellen, dass die jüngste Protokoll-Version so sicher wie möglich wird.
Bug-Bounty-Programme sind im Technologiebereich weit verbreitet. Sie belohnen hilfreiche Hacker, die etwaige Sicherheitslücken vor den potenziellen Bedrohungen von Cyberkriminellen aufdecken. Uniswap v4, das auf der 2021 veröffentlichten Version v3 aufbaut, soll günstigere und flexiblere Transaktionen ermöglichen. Der großzügige Betrag übertrifft das 2023 von LayerZero, einem übergreifenden Nachrichtenprotokoll, ausgelobte Bug-Bounty-Volumen von 15 Millionen US-Dollar.
Bereits im Entwicklungsprozess durchlief die neue Protokollversion umfangreiche Sicherheitstests, darunter neun unabhängige Audits und ein Sicherheitswettbewerb mit 2,35 Millionen US-Dollar Preisgeld, bei dem 500 Forscher keine gravierenden Sicherheitslücken fanden. Trotz der umfassenden Prüfungen geht Uniswap diesen weiteren Schritt, um die Integrität eines Protokolls zu wahren, das täglich mehrere Milliarden Dollar an Transaktionen bündelt und nach der Implementierung nicht mehr verändert werden kann.
Uniswap-CEO Hayden Adams betont die Bedeutung des Protokolls als essenzielle Infrastruktur für den DeFi-Bereich: „Mit über 2,5 Billionen US-Dollar Handelsvolumen sichert das Uniswap-Protokoll maßgeblich die DeFi-Welt ab. Mit der Einführung von v4 sind benutzerdefinierte Anpassungen ohne Grenzen möglich.“ Die Aufstockung des Bug-Bounty-Programms spiegele das Streben nach sicheren Smart Contracts wider.
Der Bug-Bounty-Plan gilt allerdings nur für den Kern von Uniswap v4 und nicht für Drittanbieter-Verträge oder bereits bekannte Schwachstellen aus Audits. Die Vergütung basiert auf einem abgestuften System, das Bugs nach Risikopriorität einstuft. Nur die Entdeckung eines „kritischen“ Bugs wird mit 15,5 Millionen US-Dollar entlohnt, während ein „hohes“ Risiko mit einer Million US-Dollar und ein „mittleres“ Risiko mit 100.000 US-Dollar honoriert wird.
Um die Belohnung zu erhalten, müssen gefundene Bugs binnen 24 Stunden gemeldet und vertraulich behandelt werden, bis sie behoben sind.