PANews ha riferito il 3 luglio che, secondo DL News, la piattaforma di ricompensa delle vulnerabilità OpenBounty è stata criticata da altri ricercatori di sicurezza perché alcuni utenti hanno scoperto che i rapporti sulle vulnerabilità da loro inviati erano stati pubblicati su una blockchain pubblica. Quando OpenBounty riceve report, ne pubblica automaticamente il contenuto come transazioni su Shentu, una blockchain gestita dalla società madre di OpenBounty, la Shentu Foundation. I dettagli divulgati includono il livello di minaccia della vulnerabilità, la posizione del codice potenzialmente vulnerabile e i commenti dell'autore del rapporto. OpenBounty elenca i bug bounty offerti da più di 30 diversi progetti crittografici, con depositi totali per un valore di oltre 11 miliardi di dollari.

Il ricercatore indipendente sulla sicurezza Pascal Caversaccio ha affermato che divulgare pubblicamente potenziali vulnerabilità è estremamente irresponsabile e qualsiasi hacker può vagliare questi rapporti e sfruttarli. I ricercatori di sicurezza si sono anche lamentati del fatto che OpenBounty elenca e accetta segnalazioni di bug bounty da altre società di sicurezza e progetti crittografici che non autorizza. Tra i premi elencati sul sito Web OpenBounty ci sono quelli del principale scambio decentralizzato Uniswap e del protocollo di prestito Compound. "In qualità di consulente per la sicurezza di Compound DAO presso OpenZeppelin, posso affermare con autorevolezza che non sono autorizzati a gestire bug bounty per conto del protocollo", ha affermato Michael Lewellen, direttore dell'architettura delle soluzioni presso la società di sicurezza crittografica OpenZeppelin e amministratore delegato della piattaforma bug bounty HackenProof L'amministratore delegato Dmytro Matviiv ha dichiarato: "Elencare i premi senza autorizzazione può avere conseguenze legali. Il mercato dei bug bounty opera secondo un processo legale ben ponderato. Con questo sistema, è molto difficile assegnare premi ai bug bounty. È necessario ottenere il permesso. dall'editore di taglie prima di essere collocato sulla piattaforma d'oro."

Un portavoce di CertiK ha confermato che Shentu, l'entità che controlla la piattaforma OpenBounty, una volta faceva parte di CertiK, tuttavia Shentu opera autonomamente come entità separata dal 2020; Tuttavia, quattro anni dopo la scissione, il codice sulla piattaforma OpenBounty si collega ancora ai domini con CertiK nel nome. Tuttavia, un portavoce di CertiK ha affermato che questi domini sono gestiti in modo indipendente da Shentu.