Secondo Wu Shuo, il ricercatore indipendente di sicurezza Pascal Caversaccio ha scoperto che dopo aver ricevuto una segnalazione, la piattaforma di bug bounty OpenBounty pubblicherà automaticamente il contenuto sotto forma di transazione sulla blockchain Shentu gestita dalla sua organizzazione madre Shentu Foundation. Le informazioni esposte includono il livello di minaccia della vulnerabilità, la posizione del codice potenzialmente vulnerabile e i commenti dell'autore del rapporto, che potrebbero essere vagliati e sfruttati dagli hacker.
OpenBounty elenca e accetta inoltre segnalazioni di bug bounty da altre società di sicurezza e progetti crittografici senza autorizzazione. Un portavoce di CertiK ha confermato a DL News che Shentu, l'entità che controlla la piattaforma OpenBounty, una volta faceva parte di CertiK e, sebbene Shentu operi autonomamente come entità indipendente dal 2020, il codice nella piattaforma OpenBounty è ancora collegato alle aziende con CertiK nome di dominio.