脆弱性報奨

Aaveは、報酬がエコシステム内の各部分のリスク状況により適合するように、バグ報奨プログラムを更新したと発表しました。また、審査のプロセスを簡素化しました。Aave V4およびCore Aave V3の重大なバグ修正報酬の上限は現在5倍に引き上げられました。

Aaveの公式は、エコシステムの各部分のリスク特性により適合させ、審査プロセスを簡素化するために、バグ報奨金プログラムの更新を発表しました。最新の調整により、Aave V4およびCore Aave V3の重要なバグ（Critical Bug）に対する報奨金の上限が元の5倍に引き上げられました。Aave Labsは同時に、報奨金フレームワークの再編成を提案し、異なるサブシステムをImmunefi、Sherlock、Cantinaなどのプラットフォームで管理することにしました。その中で、Core Aave V3、V2、GHOなどのコア部分は引き続きImmunefiが担当し、Aave V4およびAave App StackはSherlockに移行し、Aave V3 on AptosはCantinaが担当します。

公式な情報によると、スマートコントラクト監査プラットフォーム Code4rena は徐々に運営を停止することを発表し、Web3 セキュリティ会社 Immunefi がその顧客とセキュリティ研究者を引き継ぐことになります。Code4rena はソーシャルメディアに投稿し、運営停止の決定を下したと述べ、すべての進行中のコンペティションと報酬活動は通常通り完了し、既存の協力関係は「適切に締めくくる」としています。Immunefi は Code4rena の報酬プロジェクト、報酬構造、研究者を自社プラットフォームに移行する手助けをすると述べています。Code4rena はその「競争的監査」モデルで知られ、独立した研究者が報酬を得るためにスマートコントラクトの脆弱性を見つける競争を行います。この運営停止は、ブロックチェーンセキュリティ会社 Zellic が 2024 年に Code4rena を買収してから 2 年も経っていません。以前、Code4rena は 2023 年に Paradigm から 600 万ドルを調達し、監査インセンティブとプラットフォームの拡張に使用しました。この閉鎖は、DeFi プロトコルとセキュリティ分野が困難な時期に直面している時期に行われます。DefiLlama のデータによると、4 月だけで 20 件以上の暗号脆弱性事件が発生し、月間記録を更新しました。モルガン・スタンレーのアナリストは、継続的な DeFi セキュリティ事件が主要な機関投資家の参入を制限していると考えています。同時に、DeFi の総ロック資産価値は 10 月の約 1600 億ドルから現在の約 830 億ドルに減少しています。

Web3 セキュリティプラットフォーム Immunefi は X プラットフォームで発表し、DeFi プロトコル Alchemix が最新の v3 コントラクトに基づいてプラットフォーム上でバグバウンティプログラムを再開し、最高報酬は 30 万ドルに達することを発表しました。このプログラムは、安全研究者が新しいバージョンのコントラクトコードをレビューし、潜在的な脆弱性を早期に発見することを奨励し、プロトコル全体のセキュリティを向上させることを目的としています。Immunefi は、現在が関連コードの監査やバウンティプログラムへの参加の重要なウィンドウ期間であると述べています。

据 CoinList の発表によると、暗号脆弱性報奨プラットフォーム Immunefi（IMU）のトークン販売が2025年11月12日17:00 UTCにCoinListで正式に開始される。トークンの単価は0.01337ドルに設定され、FDVは1.337億ドルとなる。今回の配分は373,971,578枚のIMU（総量の3.74%）で、TGEは100%ロック解除される。申込下限は100ドルで、USDT/USDCに対応している。現在、登録が開始されている。Immunefiは、Web3およびスマートコントラクトのセキュリティに特化した脆弱性報奨プラットフォームであり、ブロックチェーンおよびスマートコントラクトプロジェクトに対して脆弱性報酬の管理、コンサルティング、脆弱性の分類およびプログラム管理サービスを提供している。これまでに、このプロジェクトはFramework Ventures、Electric Capital（リード投資）、P2 Ventures、Bitscale Capitalなど、複数の暗号および従来のテクノロジー資本から支援を受けており、総調達額は2900万ドルである。

ChainCatcher のメッセージによると、Uniswap は最新のプロトコル Uniswap v4 のコア契約の脆弱性を発見したホワイトハットハッカーに最高 1550 万ドルの報酬を提供します。これは史上最高の脆弱性報酬プログラムであり、プロトコルの安全性を確保することを目的としています。Uniswap Labs は、v4 が 9 回の独立した監査と総額 235 万ドルのセキュリティコンペティションを経て、現在重大な脆弱性が発見されていないと述べています。しかし、チームは追加の報酬を通じてプロトコルの安全性をさらに強化し、日々数十億ドルの取引量を処理する際の攻撃を避けたいと考えています。報酬額は脆弱性のリスクスコアに応じて階級化されており、「クリティカル」な脆弱性には最高 1550 万ドル、「高リスク」な脆弱性には 100 万ドル、「中リスク」な脆弱性には 10 万ドルが設定されています。報告は発見後 24 時間以内に提出され、問題が解決されるまで機密扱いとされます。

ChainCatcher メッセージ、イーサリアム共同創設者 Vitalik Buterin が Bountycaster にて「サブリニアステーキング契約（Sublinear Staking Contract）の脆弱性バウンティ」を発表しました。賞金総額は 2 ETH で、契約内のいかなるエラー / 脆弱性を特定し、具体的な修正提案を行うことを目的としています。複数の問題が発見された場合、賞金は深刻度に応じて配分されます。具体的な要件は、発表されたサブリニアステーキング契約において、ユーザーがホワイトリストに登録されている場合（ERC1155 コレクションとして指定）、N 個のコインをステーキングでき、各スロットで N ** 0.75 個のコインのリターンを得ることができます。契約が支払いに必要なトークンを持っている限り、これが可能です。資金が尽きた場合でも、fundedUntil メカニズムにより、各ステーキング者は fundedUntil タイムスタンプ以前の各期間に報酬を受け取ることが保証されており、このメカニズムは部分準備金にはなりません。

ChainCatcher のメッセージによると、公式の発表で Uniswap Labs は Web3 セキュリティ会社 Cantina と提携し、脆弱性報奨金プログラムを拡大することを発表しました。ユーザーは Uniswap Labs Cantina 脆弱性報奨金ページを通じて申請を提出でき、報酬は公開された脆弱性の深刻度とリスクにさらされている資産の規模に基づいて配分され、最大で 225 万ドルに達します。また、公式の発表によると、これまでのところ、Uniswap プロトコルはハッキング攻撃なしで 2 万億ドル以上の取引を処理しています。

ChainCatcher のメッセージによると、公式の発表で Flow が EVM に相当する Crescendo を発表する予定であり、Flow を EVM エコシステムに接続し、開発者にとって最もスケーラブルで強力な計算層の一つになることを目指しています。さらに、同時に脆弱性報奨プログラムを開始しており、ネットワークの安定性やセキュリティに影響を与える可能性のあるスマートコントラクト、取引、またはスクリプトの脆弱性を探しています。最高レベルの脆弱性報奨金は 5 万ドルです。

ChainCatcher のメッセージによると、Compound DAO は以前に「Comet 脆弱性開示（修正済み）報奨プログラム提案」を発起し、脆弱性を報告し修正したブロックチェーン開発者に報酬を与えることを目的としていましたが、最終的な投票結果は 15,000 票の差で（必要な 400,000 の法定支持票数には達しなかったため）失敗に終わりました。70% 以上の票がこの提案を支持しました。報道によると、匿名の開発者「KP」が Compound COMP -1.33% v3 プロトコル（別名 Comet）の脆弱性を発見しました。KP の推定によれば、この脆弱性によりハッカーがユーザーの資金を直接盗むことが可能になりますが、根本的に利益はありません（100 万ドルの資金を盗むには攻撃者に数十億ドルのガス料金がかかります）。この脆弱性を発見し検証した後、KP は Compound とそのセキュリティパートナーである OpenZeppelin にこの脆弱性を報告し、攻撃の概念実証シミュレーションを含むコードベースを提供しました。脆弱性が修正された後、KP は Compound DAO に対して 125,000 ドルの報酬を要求する提案を発起しました。この提案は Compound Labs プロトコル責任者の Kevin Cheng と OpenZeppelin ソリューションアーキテクチャ責任者の Michael Lewellen の支持を得ました。

ChainCatcher のメッセージによると、公式の発表で Uniswap が脆弱性報奨プログラムを開始し、報奨の対象には Router コントラクト、Permit2 コントラクト、V3 コントラクト、UniswapX コントラクトが含まれ、最高で 225 万ドルの報酬が用意されています。報告によると、Uniswap は最も重要な問題を「多くのユーザーに影響を与え、評判、法的または財務的に深刻な影響を及ぼす」と定義し、最も軽微な問題は「直接的なリスクをもたらさないが、安全のベストプラクティスに関連する」としています。

ChainCatcher のメッセージ、セキュリティ会社 Dedaub チームは、Uniswap Labs のセキュリティ脆弱性報告に対して報奨金を受け取ったと発表しました。これは、Uniswap の深刻な脆弱性を開示したためであり、その脆弱性には再入可能性があり、ユーザーの資金を枯渇させる可能性があります。しかし、資金は安全であり、Uniswap チームはこの脆弱性を解決し、すべてのチェーンで Universal Router スマートコントラクトを再展開しました。Uniswap は 2022 年 11 月に「Universal Router」スマートコントラクトを発表し、ERC20 と NFT の交換を一つの交換ルーターに統一しました。ユーザーは、1 回の取引で複数のトークンと NFT を交換するなどの異種操作を実行できます。Dedaub は、このルーターがさまざまなトークン操作にスクリプト言語を埋め込んでいると述べています。このようなコマンドには、第三者（信頼できない可能性がある）受取人への転送が含まれる場合があります。転送プロセスのいかなる時点で第三者のコードが呼び出されると、そのコードは UniversalRouter に再入し、コントラクト内で任意のトークンを一時的に請求することができます。Dedaub は、Uniswap に新しいルーターのコア実行に再入ロックを追加し、再展開することを提案しています。

ChainCatcher のメッセージによると、ApeCoin DAO のバグ報奨プログラムの協力会社の一つである Llama が、ソーシャルメディアで2週間のバグ報奨プログラムの第一段階が11月26日に終了したと発表しました。ステーキングスマートコントラクトは12月5日にメインネットで開始される予定で、Llama は「私たちは現在、テストネットのバグ報奨プログラムを完了し、Horizen と連絡を取っています。すべての提出物は慎重にテストおよび分析され、期間中に合計26件のバグ意見報告が寄せられ、その中で中程度の深刻度のバグが1件見つかりました。このバグはユーザーが資金を申請する能力を遅らせる可能性があります。Horizen は問題の解決に取り組んでおり、監査人は再監査を行っています。」と述べています。ApeCoin DAO がメインネットにステーキングスマートコントラクトを展開すると、バグ報奨プログラムの第二段階が始まり、3年間のステーキング期間を通じて続くことになります。（出典リンク）

链捕手メッセージによると、Aptosの公式情報として、Aptosは脆弱性報奨プログラムを開始し、最高報酬は100万ドルで、USDCとUSDTで支払われます。脆弱性の種類はブロックチェーンとスマートコントラクトです。すべての重要なブロックチェーン/DLTおよびスマートコントラクトのエラー報告には、証明概念（PoC）が必要で、報酬の対象となります。このプログラムにおける重大なエラー報告の報酬は固定されており、重大な影響を与えるエラー報告は全額報酬の対象となります。（出典リンク）