Platforma pro odměny za chyby OpenBounty je pod palbou kolegů bezpečnostních výzkumníků poté, co bylo zjištěno, že hlášení o chybách zaslaná uživateli jsou zveřejňována na veřejném blockchainu.
Když OpenBounty obdrží zprávy, automaticky zveřejní jejich obsah v transakcích na Shentu, blockchainu provozovaném mateřskou organizací OpenBounty, Shentu Foundation.
Podrobnosti zveřejněné zahrnují úroveň ohrožení chyby, umístění potenciálně zranitelného kódu a komentáře od autora zprávy.
„Verejní únik potenciálních chyb je šíleně nezodpovědný,“ řekl DL News Pascal Caversaccio, nezávislý bezpečnostní výzkumník, který problém identifikoval jako první. "Jakýkoli blackhat by mohl prověřovat hlášení a zneužít je."
Blackhat označuje hackery, kteří zneužívají chyby ke škodlivým účelům, včetně krádeží peněz, hesel nebo dat.
OpenBounty uvádí odměny za chyby poskytované více než 30 různými krypto projekty s celkovou hodnotou vkladu více než 11 miliard dolarů.
OpenBounty nereagovala na žádosti DL News o komentář.
Odměny za chyby jsou odměny nabízené krypto projekty těm, kteří úspěšně identifikují chyby v kódu projektu.
Odměny za chyby jsou důležité, protože motivují vývojáře, aby hledali chyby v open source kódu, a odrazují ty, kteří chyby najdou, aby je zneužili k peněžnímu zisku.
Mnoho krypto projektů nabízí odměny přes 1 milion dolarů těm, kteří identifikují nejzávažnější chyby.
Připojování odměn za chyby
Bezpečnostní výzkumníci si také stěžují, že OpenBounty uvádí a přijímá zprávy o odměnách za chyby poskytované jinými bezpečnostními firmami a krypto projekty bez jejich svolení.
Odměny ze špičkové decentralizované burzy Uniswap a půjčovací protokol Compound patří mezi ty, které jsou uvedeny na webu OpenBounty.
„Jako bezpečnostní poradce OpenZeppelin pro Compound DAO mohu s autoritou říci, že nejsou oprávněni spravovat odměnu za chyby jménem protokolu,“ řekl DL News Michael Lewellen, vedoucí architektury řešení v krypto bezpečnostní firmě OpenZeppelin.
Vypsání odměn bez povolení by mohlo mít právní důsledky, řekl Dmytro Matviiv, generální ředitel platformy pro odměňování chyb HackenProof, DL News.
Matviiv řekl, že trh s odměnami za chyby funguje v rámci dobře promyšleného právního procesu. V rámci tohoto systému je podle něj povinné získat svolení vydavatele odměn před umístěním odměny na platformu odměny za chyby.
OpenBounty funguje jako prostředník mezi těmi, kteří hledají chyby, a projekty nabízejícími odměny. Je tedy těžké s jistotou vědět, zda předává všechna hlášení o chybách, která obdrží, správným stranám a plně připisuje zásluhy těm, kteří je našli.
Některé bug bounty programy uvedené v OpenBounty, jako je ten provozovaný Uniswapem, říkají, že hlášení o chybách musí být zasláno přímo Uniswapu a ne prostřednictvím třetí strany.
Připojení CertiK
Situace na OpenBounty je nejnovější kontroverzí spojenou s kryptografickým auditorem CertiK.
V červnu byl CertiK ostře kritizován poté, co použil chybu k výběru téměř 3 milionů dolarů z kryptoburzy Kraken.
Ačkoli CertiK později finanční prostředky vrátil, onchain záznamy ukazují, že adresa spojená s CertiK odeslala některé prostředky do schváleného protokolu DeFi Tornado Cash.
Mluvčí CertiK potvrdil DL News, že Shentu, subjekt ovládající platformu OpenBounty, býval součástí CertiK.
Od roku 2020 však Shentu funguje autonomně jako nezávislý subjekt.
Přesto, čtyři roky po rozdělení, kód v platformě OpenBounty stále odkazuje na domény s CertiK v jejich názvu.
Takové domény jsou nezávisle spravovány společností Shentu, řekl mluvčí CertiK.
Tim Craig je korespondentem DeFi v DL News. Máte tip? Napište mu na tim@dlnews.com.