PANews informó el 3 de julio que, según DL News, la plataforma de recompensas por vulnerabilidades OpenBounty fue criticada por colegas investigadores de seguridad porque algunos usuarios descubrieron que los informes de vulnerabilidad que enviaron se publicaron en una cadena de bloques pública. Cuando OpenBounty recibe informes, publica automáticamente el contenido de esos informes como transacciones en Shentu, una cadena de bloques administrada por la empresa matriz de OpenBounty, la Fundación Shentu. Los detalles revelados incluyen el nivel de amenaza de la vulnerabilidad, la ubicación del código potencialmente vulnerable y los comentarios del autor del informe. OpenBounty enumera las recompensas por errores ofrecidas por más de 30 proyectos criptográficos diferentes, con depósitos totales por valor de más de 11 mil millones de dólares.

El investigador de seguridad independiente Pascal Caversaccio dijo que filtrar públicamente vulnerabilidades potenciales es extremadamente irresponsable y que cualquier pirata informático puede examinar estos informes y explotarlos. Los investigadores de seguridad también se han quejado de que OpenBounty enumera y acepta informes de recompensas por errores de otras empresas de seguridad y proyectos criptográficos que no autoriza. Entre las recompensas que figuran en el sitio web de OpenBounty se encuentran las del principal intercambio descentralizado Uniswap y el protocolo de préstamos Compound. "Como consultor de seguridad de Compound DAO en OpenZeppelin, puedo decir con autoridad que no están autorizados a gestionar recompensas por errores en nombre del protocolo", dijo Michael Lewellen, director de arquitectura de soluciones de la empresa de seguridad criptográfica OpenZeppelin y director ejecutivo de la plataforma de recompensas por errores HackenProof. El director ejecutivo, Dmytro Matviiv, dijo: "Enumerar recompensas sin permiso puede tener consecuencias legales. El mercado de recompensas por errores opera bajo un proceso legal bien pensado. Bajo este sistema, es muy difícil otorgar recompensas por recompensas por errores. Se debe obtener permiso. del editor de recompensas antes de ser colocado en la plataforma de oro”.

Un portavoz de CertiK confirmó que Shentu, la entidad que controla la plataforma OpenBounty, alguna vez fue parte de CertiK; sin embargo, Shentu ha estado operando de forma autónoma como una entidad separada desde 2020; Aún así, cuatro años después de la división, el código de la plataforma OpenBounty todavía vincula a dominios con CertiK en sus nombres. Sin embargo, un portavoz de CertiK dijo que Shentu administra estos dominios de forma independiente.