Die Bug-Bounty-Plattform OpenBounty steht unter Beschuss anderer Sicherheitsforscher, nachdem festgestellt wurde, dass die von Benutzern eingereichten Fehlerberichte in einer öffentlichen Blockchain veröffentlicht werden.
Wenn OpenBounty Berichte erhält, veröffentlicht es deren Inhalt automatisch in Transaktionen auf Shentu, einer Blockchain, die von der Mutterorganisation von OpenBounty, der Shentu Foundation, betrieben wird.
Zu den öffentlich gemachten Details zählen die Bedrohungsstufe des Fehlers, der Speicherort des möglicherweise anfälligen Codes und Kommentare des Autors des Berichts.
„Potenzielle Bugs öffentlich zu machen, ist unfassbar verantwortungslos“, sagte Pascal Caversaccio, ein unabhängiger Sicherheitsforscher, der das Problem als Erster entdeckte, gegenüber DL News. „Jeder Blackhat könnte die Berichte durchsehen und sie ausnutzen.“
Mit Blackhat werden Hacker bezeichnet, die Fehler für böswillige Zwecke ausnutzen, darunter den Diebstahl von Geld, Passwörtern oder Daten.
OpenBounty listet Bug-Bountys von über 30 verschiedenen Kryptoprojekten mit einem Gesamteinlagenwert von über 11 Milliarden US-Dollar auf.
OpenBounty antwortete nicht auf die Bitte von DL News um einen Kommentar.
Bug-Bounties sind Belohnungen, die von Kryptoprojekten an diejenigen vergeben werden, die erfolgreich Fehler im Code eines Projekts identifizieren.
Bug-Bounties sind wichtig, weil sie Entwickler dazu anregen, im Open-Source-Code nach Fehlern zu suchen. Gleichzeitig halten sie diejenigen, die Fehler finden, davon ab, diese für finanzielle Zwecke auszunutzen.
Viele Kryptoprojekte bieten denjenigen, die die schwerwiegendsten Fehler identifizieren, Kopfgelder von über einer Million Dollar.
Bug-Bounty-Pakete im Gepäck
Sicherheitsforscher beklagen außerdem, dass OpenBounty Berichte für Bug-Bountys anderer Sicherheitsfirmen und Kryptoprojekte ohne deren Erlaubnis auflistet und akzeptiert.
Auf der OpenBounty-Website sind unter anderem Kopfgelder der führenden dezentralen Börse Uniswap und des Kreditprotokolls Compound aufgeführt.
„Als Sicherheitsberater von OpenZeppelin für die Compound DAO kann ich mit Bestimmtheit sagen, dass sie nicht befugt sind, im Namen des Protokolls ein Bug-Bounty-Programm zu verwalten“, sagte Michael Lewellen, Leiter der Lösungsarchitektur beim Krypto-Sicherheitsunternehmen OpenZeppelin, gegenüber DL News.
Das Auflisten von Kopfgeldern ohne Erlaubnis könne rechtliche Konsequenzen haben, sagte Dmytro Matviiv, CEO der Bug-Bounty-Plattform HackenProof, gegenüber DL News.
Matviiv sagte, der Bug-Bounty-Markt funktioniere im Rahmen eines gut durchdachten Rechtsverfahrens. Im Rahmen dieses Systems, sagte er, sei es zwingend erforderlich, die Erlaubnis eines Bounty-Ausstellers einzuholen, bevor man sein Bounty auf einer Bug-Bounty-Plattform ausgibt.
OpenBounty fungiert als Vermittler zwischen den Bugfindern und den Projekten, die Prämien anbieten. Daher ist es schwer, mit Sicherheit zu sagen, ob es alle Bug-Berichte, die es erhält, an die richtigen Stellen weiterleitet und die Fehlerfinder auch vollständig belohnt.
Einige von OpenBounty aufgeführte Bug-Bounty-Programme, wie etwa das von Uniswap betriebene, besagen, dass Fehlerberichte direkt an Uniswap und nicht über Dritte übermittelt werden müssen.
Die CertiK-Verbindung
Die Situation bei OpenBounty ist die jüngste Kontroverse im Zusammenhang mit dem Krypto-Auditor CertiK.
Im Juni wurde CertiK heftig kritisiert, nachdem es einen Sicherheitsfehler ausgenutzt hatte, um fast 3 Millionen Dollar von der Kryptobörse Kraken abzuheben.
Obwohl CertiK die Gelder später zurückgab, zeigen Onchain-Aufzeichnungen, dass eine mit CertiK verknüpfte Adresse einen Teil der Gelder an das genehmigte DeFi-Protokoll Tornado Cash schickte.
Ein Sprecher von CertiK bestätigte gegenüber DL News, dass Shentu, das Unternehmen, das die OpenBounty-Plattform kontrolliert, früher Teil von CertiK war.
Seit 2020 operiert Shentu jedoch autonom als unabhängiges Unternehmen.
Dennoch verweist der Code der OpenBounty-Plattform vier Jahre nach der Aufspaltung immer noch auf Domänen mit CertiK im Namen.
Solche Domänen werden von Shentu unabhängig verwaltet, sagte der CertiK-Sprecher.
Tim Craig ist DeFi-Korrespondent bei DL News. Haben Sie einen Tipp? Senden Sie ihm eine E-Mail an tim@dlnews.com.
