La piattaforma di bug bounty OpenBounty è sotto accusa da parte di altri ricercatori sulla sicurezza dopo che è stato scoperto che le segnalazioni di bug inviate dagli utenti sono pubblicate su una blockchain pubblica.

Quando OpenBounty riceve report, ne pubblica automaticamente i contenuti nelle transazioni su Shentu, una blockchain gestita dall'organizzazione madre di OpenBounty, la Shentu Foundation.

I dettagli resi pubblici includono il livello di minaccia del bug, la posizione del codice potenzialmente vulnerabile e i commenti dell’autore del rapporto.

“Divulgare pubblicamente potenziali bug è follemente irresponsabile”, ha detto a DL News Pascal Caversaccio, un ricercatore indipendente sulla sicurezza che per primo ha identificato il problema. “Qualsiasi blackhat potrebbe esaminare i rapporti per sfruttarli”.

Blackhat si riferisce agli hacker che sfruttano i bug per scopi dannosi, incluso il furto di denaro, password o dati.

OpenBounty elenca i bug bounty forniti da oltre 30 diversi progetti crittografici con un valore di deposito combinato di oltre 11 miliardi di dollari.

OpenBounty non ha risposto alle richieste di commento di DL News.

I bug bounty sono ricompense offerte dai progetti crittografici a coloro che identificano con successo i bug nel codice di un progetto.

I premi sui bug sono importanti perché incentivano gli sviluppatori a cercare bug nel codice open source e dissuadono coloro che trovano bug dallo sfruttarli per un guadagno monetario.

Molti progetti crittografici offrono ricompense di oltre 1 milione di dollari a coloro che identificano i bug più gravi.

Ricompense di bug sulle spalle

I ricercatori di sicurezza lamentano inoltre che OpenBounty elenca e accetta segnalazioni di bug bounty fornite da altre società di sicurezza e progetti crittografici senza la loro autorizzazione.

I premi del principale scambio decentralizzato Uniswap e del protocollo di prestito Compound sono tra quelli elencati sul sito web di OpenBounty.

"In qualità di consulente per la sicurezza di OpenZeppelin presso il Compound DAO, posso dire con autorità che non sono autorizzati a gestire un bug bounty per conto del protocollo", ha detto a DL News Michael Lewellen, responsabile dell'architettura delle soluzioni presso la società di sicurezza crittografica OpenZeppelin.

Elencare i premi senza autorizzazione potrebbe avere conseguenze legali, ha detto a DL News Dmytro Matviiv, CEO della piattaforma di bug bounty HackenProof.

Matviiv ha affermato che il mercato dei bug bounty opera all’interno di un processo legale ben ponderato. Con questo sistema, ha detto, è obbligatorio ottenere il permesso dell’emittente della taglia prima di collocare la propria taglia su una piattaforma di bug bounty.

OpenBounty funge da intermediario tra coloro che trovano bug e i progetti che offrono premi. Quindi è difficile sapere con certezza se trasmette tutte le segnalazioni di bug che riceve alle parti interessate e dà pieno credito a coloro che le hanno trovate.

Alcuni programmi di bug bounty elencati da OpenBounty, come quello gestito da Uniswap, affermano che le segnalazioni di bug devono essere inviate direttamente a Uniswap e non tramite terze parti.

La connessione CertiK

La situazione di OpenBounty è l'ultima controversia legata al revisore delle criptovalute CertiK.

A giugno, CertiK è stata aspramente criticata dopo aver utilizzato un bug per prelevare quasi 3 milioni di dollari dall'exchange di criptovalute Kraken.

Sebbene CertiK abbia successivamente restituito i fondi, i record onchain mostrano che un indirizzo collegato a CertiK ha inviato parte dei fondi al protocollo DeFi sanzionato Tornado Cash.

Un portavoce di CertiK ha confermato a DL News che Shentu, l'entità che controlla la piattaforma OpenBounty, faceva parte di CertiK.

Dal 2020, invece, Shentu opera in modo autonomo come entità indipendente.

Tuttavia, quattro anni dopo la scissione, il codice nella piattaforma OpenBounty si collega ancora ai domini con CertiK nel nome.

Tali domini sono gestiti in modo indipendente da Shentu, ha detto il portavoce di CertiK.

Tim Craig è un corrispondente DeFi presso DL News. Hai un consiglio? Inviagli un'e-mail a tim@dlnews.com.