Odaily Planet Daily a rapporté que la plateforme de primes de vulnérabilité OpenBounty avait été critiquée par des collègues chercheurs en sécurité parce que certains utilisateurs avaient découvert que les rapports de vulnérabilité qu'ils avaient soumis étaient publiés sur une chaîne publique. Lorsque OpenBounty reçoit des rapports, il publie automatiquement le contenu de ces rapports sous forme de transactions sur Shentu, la blockchain gérée par la société mère d'OpenBounty, la Fondation Shentu. Les détails divulgués incluent le niveau de menace de la vulnérabilité, l'emplacement du code potentiellement vulnérable et les commentaires de l'auteur du rapport. Le chercheur indépendant en sécurité Pascal Caversaccio a déclaré que divulguer publiquement des vulnérabilités potentielles est extrêmement irresponsable et que tout pirate informatique pourrait passer au crible ces rapports et les exploiter. OpenBounty répertorie les programmes de bug bounty proposés par plus de 30 projets de cryptographie, avec des dépôts totaux d'une valeur de plus de 11 milliards de dollars. Les chercheurs en sécurité se sont également plaints du fait qu'OpenBounty répertorie et accepte les rapports de bug bounty fournis par d'autres sociétés de sécurité et projets de chiffrement sans leur autorisation. Parmi les primes répertoriées sur le site Web OpenBounty figurent celles de l'échange décentralisé Uniswap et du protocole de prêt Compound. "En tant que consultant en sécurité de Compound DAO chez OpenZeppelin, je peux affirmer avec autorité qu'ils ne sont pas autorisés à gérer les bug bounty au nom du protocole", a déclaré Michael Lewellen, directeur de l'architecture des solutions de la société de sécurité cryptographique OpenZeppelin, PDG de la plateforme de bug bounty HackenProof Dmytro. Matviiv a déclaré : « La liste des primes sans autorisation peut avoir des conséquences juridiques. Le marché des primes de bogues fonctionne selon un processus juridique bien pensé. Dans le cadre de ce système, il est important de placer des primes sur les plateformes de primes de bogues. obtenu avant d'être mis en ligne. » Un porte-parole de CertiK a confirmé que Shentu, l'entité qui contrôle la plateforme OpenBounty, faisait autrefois partie de CertiK, cependant, Shentu fonctionne de manière autonome en tant qu'entité indépendante depuis 2020. Pourtant, quatre ans après la scission, le code de la plateforme OpenBounty est toujours lié à des domaines portant CertiK dans leur nom. Cependant, un porte-parole de CertiK a déclaré que les domaines sont gérés de manière indépendante par Shentu. (DL Nouvelles)
Voir l’original
La plateforme de bug bounty OpenBounty publie publiquement un rapport de vulnérabilité, les chercheurs le qualifient de « extrêmement irresponsable »
Avertissement : comprend des opinions de tiers. Il ne s’agit pas d’un conseil financier. Peut inclure du contenu sponsorisé. Consultez les CG.
CTK
0,5368
-1.32%
Réponses 0
Découvrez les dernières actus sur les cryptos
⚡️ Prenez part aux dernières discussions sur les cryptos
💬 Interagissez avec vos créateur(trice)s préféré(e)s
👍 Profitez du contenu qui vous intéresse
Adresse e-mail/Numéro de téléphone
Créateur pertinent
LIVE
@Square-Creator-45ff2a536