Odaily Planet Daily berichtete, dass die Schwachstellen-Bounty-Plattform OpenBounty von anderen Sicherheitsforschern kritisiert wurde, weil einige Benutzer herausfanden, dass die von ihnen eingereichten Schwachstellenberichte in einer öffentlichen Kette veröffentlicht wurden. Wenn OpenBounty Berichte erhält, veröffentlicht es den Inhalt dieser Berichte automatisch als Transaktionen auf Shentu, der Blockchain, die von OpenBountys Muttergesellschaft, der Shentu Foundation, betrieben wird. Zu den offengelegten Details gehören der Bedrohungsgrad der Sicherheitslücke, der Speicherort potenziell anfälliger Codes und Kommentare des Autors des Berichts. Der unabhängige Sicherheitsforscher Pascal Caversaccio sagte, die öffentliche Bekanntgabe potenzieller Schwachstellen sei äußerst verantwortungslos und jeder Hacker könne diese Berichte sichten und ausnutzen. OpenBounty listet Bug-Bounty-Programme auf, die von mehr als 30 Krypto-Projekten angeboten werden, mit Gesamteinlagen im Wert von mehr als 11 Milliarden US-Dollar. Sicherheitsforscher bemängelten außerdem, dass OpenBounty Bug-Bounty-Berichte anderer Sicherheitsfirmen und Verschlüsselungsprojekte ohne deren Erlaubnis auflistet und akzeptiert. Zu den auf der OpenBounty-Website aufgeführten Kopfgeldern gehören die der dezentralen Börse Uniswap und des Kreditprotokolls Compound. „Als Sicherheitsberater von Compound DAO bei OpenZeppelin kann ich mit Bestimmtheit sagen, dass sie nicht berechtigt sind, Bug-Bounties im Namen des Protokolls zu verwalten“, sagte Michael Lewellen, Direktor für Lösungsarchitektur beim kryptografischen Sicherheitsunternehmen OpenZeppelin, CEO der Bug-Bounty-Plattform HackenProof Dmytro Matviiv sagte: „Das Auflisten von Kopfgeldern ohne Genehmigung kann rechtliche Konsequenzen haben. Im Rahmen dieses Systems ist es wichtig, Kopfgelder auf Bug-Bounty-Plattformen zu platzieren.“ erhalten, bevor es online ging.“ Ein Sprecher von CertiK bestätigte, dass Shentu, die Einheit, die die OpenBounty-Plattform kontrolliert, einst Teil von CertiK war, Shentu jedoch seit 2020 autonom als unabhängige Einheit operiert. Auch vier Jahre nach der Aufteilung verlinkt der Code auf der OpenBounty-Plattform immer noch auf Domains, deren Namen CertiK enthalten. Ein Sprecher von CertiK sagte jedoch, dass die Domains von Shentu unabhängig verwaltet werden. (DL-Nachrichten)