Odaily Planet Daily informó que la plataforma de recompensas por vulnerabilidades OpenBounty fue criticada por colegas investigadores de seguridad porque algunos usuarios descubrieron que los informes de vulnerabilidad que enviaron se publicaron en una cadena pública. Cuando OpenBounty recibe informes, publica automáticamente el contenido de esos informes como transacciones en Shentu, la cadena de bloques administrada por la empresa matriz de OpenBounty, la Fundación Shentu. Los detalles revelados incluyen el nivel de amenaza de la vulnerabilidad, la ubicación del código potencialmente vulnerable y los comentarios del autor del informe. El investigador de seguridad independiente Pascal Caversaccio dijo que filtrar públicamente vulnerabilidades potenciales es extremadamente irresponsable y que cualquier pirata informático podría examinar estos informes y explotarlos. OpenBounty enumera programas de recompensas por errores ofrecidos por más de 30 proyectos criptográficos, con depósitos totales por valor de más de 11 mil millones de dólares. Los investigadores de seguridad también se quejaron de que OpenBounty enumera y acepta informes de recompensas por errores proporcionados por otras empresas de seguridad y proyectos de cifrado sin su permiso. Entre las recompensas que figuran en el sitio web de OpenBounty se encuentran las del intercambio descentralizado Uniswap y el protocolo de préstamos Compound. "Como consultor de seguridad de Compound DAO en OpenZeppelin, puedo decir con autoridad que no están autorizados a gestionar recompensas de errores en nombre del protocolo", dijo Michael Lewellen, director de arquitectura de soluciones de la empresa de seguridad criptográfica OpenZeppelin, director ejecutivo de la plataforma de recompensas de errores HackenProof Dmytro. Matviiv dijo: “Enumerar recompensas sin permiso puede tener consecuencias legales. El mercado de recompensas por errores opera bajo un proceso legal bien pensado. Bajo este sistema, es importante otorgar recompensas en las plataformas de recompensas por errores. obtenido antes de conectarse ". Un portavoz de CertiK confirmó que Shentu, la entidad que controla la plataforma OpenBounty, alguna vez fue parte de CertiK; sin embargo, Shentu ha estado operando de forma autónoma como una entidad independiente desde 2020. Aún así, cuatro años después de la división, el código de la plataforma OpenBounty todavía vincula a dominios con CertiK en sus nombres. Sin embargo, un portavoz de CertiK dijo que Shentu administra los dominios de forma independiente. (Noticias DL)