Odaily Planet Daily melaporkan bahwa platform bounty kerentanan OpenBounty dikritik oleh sesama peneliti keamanan karena beberapa pengguna menemukan bahwa laporan kerentanan yang mereka kirimkan dipublikasikan di rantai publik. Ketika OpenBounty menerima laporan, secara otomatis mempublikasikan isi laporan tersebut sebagai transaksi di Shentu, blockchain yang dijalankan oleh perusahaan induk OpenBounty, Shentu Foundation. Rincian yang diungkapkan mencakup tingkat ancaman kerentanan, lokasi kode yang berpotensi rentan, dan komentar dari penulis laporan. Peneliti keamanan independen Pascal Caversaccio mengatakan membocorkan potensi kerentanan secara publik sangatlah tidak bertanggung jawab dan peretas mana pun dapat menyaring laporan ini dan mengeksploitasinya. OpenBounty mencantumkan program bug bounty yang ditawarkan oleh lebih dari 30 proyek kripto, dengan total setoran bernilai lebih dari $11 miliar. Peneliti keamanan juga mengeluh bahwa OpenBounty mencantumkan dan menerima laporan bug bounty yang disediakan oleh perusahaan keamanan lain dan proyek enkripsi tanpa izin mereka. Di antara bounty yang terdaftar di situs OpenBounty adalah bounty yang berasal dari bursa terdesentralisasi Uniswap dan protokol peminjaman Compound. “Sebagai konsultan keamanan Compound DAO di OpenZeppelin, saya dapat secara resmi mengatakan bahwa mereka tidak berwenang untuk mengelola bug bounty atas nama protokol,” kata Michael Lewellen, direktur arsitektur solusi di perusahaan keamanan kriptografi OpenZeppelin, CEO platform bug bounty HackenProof Dmytro Matviiv berkata: “Mendaftarkan bounty tanpa izin dapat menimbulkan konsekuensi hukum. Pasar bug bounty beroperasi di bawah proses hukum yang dipikirkan dengan matang. Di bawah sistem ini, penting untuk menempatkan bounty di platform bug bounty diperoleh sebelum online.” Juru bicara CertiK mengonfirmasi bahwa Shentu, entitas yang mengontrol platform OpenBounty, pernah menjadi bagian dari CertiK, namun Shentu telah beroperasi secara mandiri sebagai entitas independen sejak tahun 2020. Namun, empat tahun setelah pemisahan, kode pada platform OpenBounty masih tertaut ke domain dengan CertiK di namanya. Namun juru bicara CertiK mengatakan domain tersebut dikelola secara independen oleh Shentu. (Berita DL)
Lihat asli
Platform bug bounty OpenBounty secara publik merilis laporan kerentanan, para peneliti menyebutnya "sangat tidak bertanggung jawab"
Penafian: Berisi opini pihak ketiga. Bukan nasihat keuangan. Dapat berisi konten bersponsor. Baca S&K.
CTK
0,5442
-1.32%
Balasan 0
Jelajahi berita kripto terbaru
⚡️ Ikuti diskusi terbaru di kripto
💬 Berinteraksilah dengan kreator favorit Anda
👍 Nikmati konten yang menarik minat Anda
Email/Nomor Ponsel
Kreator Terkait
LIVE
@Square-Creator-45ff2a536
Jelajahi Konten Lainnya dari Kreator
Berita Terbaru
Pengadilan India memerintahkan penutupan situs web penipuan yang mengatasnamakan bursa kripto Mudrex
--
