Aave

Aave est un protocole de liquidité décentralisé non dépositaire dans lequel les utilisateurs peuvent participer en tant que fournisseurs ou emprunteurs à un pool commun. Les fournisseurs fournissent des liquidités pour gagner un revenu passif, tandis que les emprunteurs peuvent emprunter de manière surgarantie (perpétuelle) ou sous-garantie (liquidité en bloc).

Pour plus d’informations sur Aave, veuillez visiter https://aave.com/.

Aave offre des récompenses sous la forme d’un mélange d’AAVE et de pièces stables. Pour plus de détails sur le processus de paiement, veuillez consulter la section Récompenses par niveau de menace ci-dessous.

Aave est représenté par ses prestataires de services BGD Labs (Aave v2/v3/SM/Governance) et Aave Labs (GHO). BGD et Aave Labs ont été nommés représentants du DAO exclusivement dans ce contexte, sur la base d’une proposition de gouvernance Aave réussie.

Exigence KYC

La fourniture de KYC peut être requise pour une récompense pour ce programme de bug bounty à la discrétion du ou des représentants de DAO. Si KYC est demandé, les informations suivantes devront être fournies :

• Appel vidéo en direct au cours duquel les questions suivantes peuvent être posées :
• document d’identification délivré par le gouvernement

KYC ne sera pas requis pour les rapports de bogues classés avec un niveau de gravité moyen ou faible.

Publication responsable

Aave adhère à la catégorie 3. Cette politique détermine quelles informations les whitehats sont autorisés à rendre publiques à partir de leurs rapports de bogues soumis. Pour plus d’informations sur la catégorie sélectionnée, veuillez vous référer à notre page Publication responsable.

Primauté de l’impact vs primauté des règles

Aave adhère à la primauté de l’impact pour les impacts suivants :

• Contrat intelligent – ​​Critique – Manipulation majeure du résultat du vote de gouvernance s’écartant du résultat voté, chaque fois que les mécanismes de protection (par exemple, l’annulation de la proposition) ne peuvent pas atténuer les dommages.
• Contrat intelligent – ​​Critique – Vol direct de tous les fonds de l’utilisateur classés comme principal, qu’ils soient au repos ou en mouvement, s’ils ont une valeur supérieure à 100 USD et représentent au moins 1 % de la position de l’utilisateur.
• Contrat intelligent – ​​Critique – Verrouillage permanent des fonds des utilisateurs classés comme principal, chaque fois qu’aucun sauvetage d’aucune sorte ne peut être effectué.

Si un impact est couvert par la primauté de l’impact, cela signifie que même si l’actif impacté n’est pas dans le champ d’application mais appartient au projet, il sera alors considéré comme entrant dans le champ d’application du programme de bug bounty. Seuls les sous-systèmes d’Aave explicitement mentionnés dans la section « Autres conditions et informations » sont considérés comme appartenant au projet, tout ce qui en dehors n’est éligible à aucune prime. Lors de la soumission d’un rapport, sélectionnez simplement l’espace réservé à l’actif Primacy of Impact. Si l’impact affecte quelque chose dans l’un des référentiels GitHub associés, sélectionnez plutôt l’espace réservé contenant le lien vers le référentiel spécifique.

Si l’équipe derrière ce projet a plusieurs projets, ces autres projets ne sont pas couverts par la Primauté d’Impact de ce programme. Vérifiez plutôt si ces autres projets ont un programme de bug bounty sur Immunefi.

Les fichiers Testnet et fictifs, ainsi que les fonctionnalités non actives, définies comme des fonctionnalités qui 1) ne sont pas introduites en production et 2) ne peuvent pas être utilisées en raison des configurations du protocole, ne sont pas couvertes par la primauté de l’impact.

Tous les autres impacts sont pris en compte sous la primauté des règles, ce qui signifie qu’ils sont liés par les termes du programme de bug bounty.

Assurance des problèmes connus

Aave s’engage à fournir une assurance contre les problèmes connus pour les soumissions de bogues via son programme. Cela signifie qu’Aave divulguera les problèmes connus publiquement, en privé via une soumission de bug auto-déclarée ou à l’équipe Immunefi, afin de permettre un processus de médiation plus objectif et rationalisé pour prouver qu’un problème est connu. Sinon, en supposant que le rapport de bogue lui-même soit valide, le rapport de bogue serait considéré comme faisant partie du champ d’application et recevrait 100 % de la récompense conformément aux termes du programme de prime aux bogues.

Pour des raisons de confidentialité et de sécurité, les soumissions de bogues auto-déclarées n’auront qu’un hachage comme contenu. Dans le cas où une preuve est nécessaire pour démontrer que le problème est connu, le fichier respectif sera envoyé pour évaluation afin de vérifier si les hachages correspondent à l’entrée auto-déclarée antérieure.

Insigne standard immunitaire

Aave a satisfait aux exigences du badge Immunefi Standard, qui est décerné aux projets qui adhèrent à nos meilleures pratiques.

Programme géré par la gouvernance

Ce programme de bug bounty est régi par une proposition de gouvernance. Pour consulter le sondage sur les propositions de gouvernance, visitez https://app.aave.com/governance/proposal/?proposalId=325.