PANews a rapporté le 3 juillet que, selon DL News, la plateforme de primes de vulnérabilité OpenBounty avait été critiquée par des collègues chercheurs en sécurité parce que certains utilisateurs avaient découvert que les rapports de vulnérabilité qu'ils avaient soumis étaient publiés sur une blockchain publique. Lorsque OpenBounty reçoit des rapports, il publie automatiquement le contenu de ces rapports sous forme de transactions sur Shentu, une blockchain gérée par la société mère d'OpenBounty, la Fondation Shentu. Les détails divulgués incluent le niveau de menace de la vulnérabilité, l'emplacement du code potentiellement vulnérable et les commentaires de l'auteur du rapport. OpenBounty répertorie les bug bounty offerts par plus de 30 projets de cryptographie différents, avec des dépôts totaux d'une valeur supérieure à 11 milliards de dollars.

Le chercheur indépendant en sécurité Pascal Caversaccio a déclaré que divulguer publiquement des vulnérabilités potentielles est extrêmement irresponsable et que tout pirate informatique peut passer au crible ces rapports et les exploiter. Les chercheurs en sécurité se sont également plaints du fait qu'OpenBounty répertorie et accepte les rapports de bug bounty d'autres sociétés de sécurité et de projets cryptographiques qu'il n'autorise pas. Parmi les primes répertoriées sur le site Web OpenBounty figurent celles du principal échange décentralisé Uniswap et du protocole de prêt Compound. "En tant que consultant en sécurité de Compound DAO chez OpenZeppelin, je peux affirmer avec autorité qu'ils ne sont pas autorisés à gérer les bug bounties au nom du protocole", a déclaré Michael Lewellen, directeur de l'architecture des solutions chez la société de sécurité cryptographique OpenZeppelin et directeur général de la plateforme de bug bounty HackenProof. Le PDG de .Dmytro Matviiv a déclaré : « La liste des primes sans autorisation peut avoir des conséquences juridiques. Le marché des primes de bugs fonctionne selon un processus juridique bien pensé. Dans ce système, il est difficile de placer une prime sur une prime de bugs. obtenu auprès de l’éditeur de primes avant d’être placé sur la plateforme or.

Un porte-parole de CertiK a confirmé que Shentu, l'entité qui contrôle la plateforme OpenBounty, faisait autrefois partie de CertiK, mais Shentu fonctionne de manière autonome en tant qu'entité distincte depuis 2020 ; Pourtant, quatre ans après la scission, le code de la plateforme OpenBounty est toujours lié à des domaines portant CertiK dans leur nom. Cependant, un porte-parole de CertiK a déclaré que ces domaines sont gérés de manière indépendante par Shentu.