La plataforma de recompensas por errores OpenBounty está siendo criticada por otros investigadores de seguridad después de que se descubrió que los informes de errores enviados por los usuarios se publican en una cadena de bloques pública.
Cuando OpenBounty recibe informes, publica automáticamente su contenido en transacciones en Shentu, una cadena de bloques administrada por la organización matriz de OpenBounty, la Fundación Shentu.
Los detalles hechos públicos incluyen el nivel de amenaza del error, la ubicación del código potencialmente vulnerable y los comentarios del autor del informe.
“Filtrar públicamente errores potenciales es increíblemente irresponsable”, dijo a DL News Pascal Caversaccio, un investigador de seguridad independiente que fue el primero en identificar el problema. "Cualquier blackhat podría filtrar los informes para explotarlos".
Blackhat se refiere a los piratas informáticos que explotan errores con fines maliciosos, incluido el robo de dinero, contraseñas o datos.
OpenBounty enumera recompensas por errores proporcionadas por más de 30 proyectos criptográficos diferentes con un valor de depósito combinado de más de $11 mil millones.
OpenBounty no respondió a las solicitudes de comentarios de DL News.
Las recompensas por errores son recompensas que ofrecen los proyectos criptográficos a quienes identifican con éxito errores en el código de un proyecto.
Las recompensas por errores son importantes porque incentivan a los desarrolladores a buscar errores en el código fuente abierto y disuaden a quienes los encuentran de explotarlos para obtener ganancias monetarias.
Muchos proyectos criptográficos ofrecen recompensas de más de 1 millón de dólares a quienes identifiquen los errores más graves.
Recompensas por errores
Los investigadores de seguridad también se quejan de que OpenBounty enumera y acepta informes de recompensas por errores proporcionados por otras empresas de seguridad y proyectos criptográficos sin su permiso.
Las recompensas del principal intercambio descentralizado Uniswap y el protocolo de préstamos Compound se encuentran entre las que figuran en el sitio web de OpenBounty.
"Como asesor de seguridad de OpenZeppelin para Compound DAO, puedo decir con autoridad que no están autorizados a gestionar una recompensa por errores en nombre del protocolo", dijo a DL News Michael Lewellen, jefe de arquitectura de soluciones de la empresa de seguridad criptográfica OpenZeppelin.
Publicar recompensas sin permiso podría tener consecuencias legales, dijo a DL News Dmytro Matviiv, director ejecutivo de la plataforma de recompensas por errores HackenProof.
Matviiv dijo que el mercado de recompensas por errores opera dentro de un proceso legal bien pensado. Según este sistema, dijo, es obligatorio obtener el permiso del emisor de la recompensa antes de colocar su recompensa en una plataforma de recompensas por errores.
OpenBounty actúa como intermediario entre quienes encuentran errores y los proyectos que ofrecen recompensas. Por lo tanto, es difícil saber con certeza si transmite todos los informes de errores que recibe a las partes adecuadas y si acredita plenamente a quienes los encontraron.
Algunos programas de recompensas por errores enumerados por OpenBounty, como el ejecutado por Uniswap, dicen que los informes de errores deben enviarse directamente a Uniswap y no a través de un tercero.
La conexión CertiK
La situación en OpenBounty es la última controversia relacionada con el criptoauditor CertiK.
En junio, CertiK fue duramente criticado después de que utilizó un error para retirar casi 3 millones de dólares del intercambio de criptomonedas Kraken.
Aunque CertiK luego devolvió los fondos, los registros en cadena muestran que una dirección vinculada a CertiK envió algunos de los fondos al protocolo DeFi sancionado Tornado Cash.
Un portavoz de CertiK confirmó a DL News que Shentu, la entidad que controla la plataforma OpenBounty, solía ser parte de CertiK.
Sin embargo, desde 2020, Shentu opera de forma autónoma como una entidad independiente.
Aún así, cuatro años después de la división, el código de la plataforma OpenBounty todavía vincula a dominios con CertiK en su nombre.
Dichos dominios son administrados de forma independiente por Shentu, dijo el portavoz de CertiK.
Tim Craig es corresponsal de DeFi en DL News. ¿Tienes un consejo? Envíele un correo electrónico a tim@dlnews.com.
