PANews berichtete am 3. Juli, dass laut DL News die Schwachstellen-Bounty-Plattform OpenBounty von anderen Sicherheitsforschern kritisiert wurde, weil einige Benutzer herausfanden, dass die von ihnen eingereichten Schwachstellenberichte auf einer öffentlichen Blockchain veröffentlicht wurden. Wenn OpenBounty Berichte erhält, veröffentlicht es den Inhalt dieser Berichte automatisch als Transaktionen auf Shentu, einer Blockchain, die von OpenBountys Muttergesellschaft, der Shentu Foundation, betrieben wird. Zu den offengelegten Details gehören der Bedrohungsgrad der Sicherheitslücke, der Speicherort potenziell anfälliger Codes und Kommentare des Autors des Berichts. OpenBounty listet Bug-Bountys auf, die von mehr als 30 verschiedenen Krypto-Projekten angeboten werden, mit Gesamteinlagen im Wert von über 11 Milliarden US-Dollar.

Der unabhängige Sicherheitsforscher Pascal Caversaccio sagte, die öffentliche Bekanntgabe potenzieller Schwachstellen sei äußerst verantwortungslos und jeder Hacker könne diese Berichte durchforsten und ausnutzen. Sicherheitsforscher haben sich auch darüber beschwert, dass OpenBounty Bug-Bounty-Berichte von anderen Sicherheitsunternehmen und kryptografischen Projekten auflistet und akzeptiert, die es nicht autorisiert. Zu den auf der OpenBounty-Website aufgeführten Kopfgeldern gehören die der führenden dezentralen Börse Uniswap und des Kreditprotokolls Compound. „Als Sicherheitsberater von Compound DAO bei OpenZeppelin kann ich mit Bestimmtheit sagen, dass sie nicht berechtigt sind, Bug-Bountys im Namen des Protokolls zu verwalten“, sagte Michael Lewellen, Direktor für Lösungsarchitektur beim kryptografischen Sicherheitsunternehmen OpenZeppelin und CEO der Bug-Bounty-Plattform HackenProof CEO Dmytro Matviiv sagte: „Das Auflisten von Kopfgeldern ohne Erlaubnis kann rechtliche Konsequenzen haben. Der Bug-Bounty-Markt unterliegt einem gut durchdachten rechtlichen Verfahren vom Bounty-Herausgeber erhalten, bevor es auf der Goldplattform platziert wird.“

Ein CertiK-Sprecher bestätigte, dass Shentu, die Einheit, die die OpenBounty-Plattform kontrolliert, einst Teil von CertiK war, Shentu jedoch seit 2020 autonom als separate Einheit operiert. Auch vier Jahre nach der Aufteilung verlinkt der Code auf der OpenBounty-Plattform immer noch auf Domains, deren Namen CertiK enthalten. Ein Sprecher von CertiK sagte jedoch, dass diese Domains unabhängig von Shentu verwaltet werden.