Odaily Planet Daily ha riferito che la piattaforma di ricompensa delle vulnerabilità OpenBounty è stata criticata da altri ricercatori sulla sicurezza perché alcuni utenti hanno scoperto che i rapporti sulle vulnerabilità da loro inviati erano pubblicati su una catena pubblica. Quando OpenBounty riceve report, ne pubblica automaticamente il contenuto come transazioni su Shentu, la blockchain gestita dalla società madre di OpenBounty, la Shentu Foundation. I dettagli divulgati includono il livello di minaccia della vulnerabilità, la posizione del codice potenzialmente vulnerabile e i commenti dell'autore del rapporto. Il ricercatore indipendente sulla sicurezza Pascal Caversaccio ha affermato che divulgare pubblicamente potenziali vulnerabilità è estremamente irresponsabile e qualsiasi hacker potrebbe vagliare questi rapporti e sfruttarli. OpenBounty elenca i programmi bug bounty offerti da oltre 30 progetti crittografici, con depositi totali per un valore di oltre 11 miliardi di dollari. I ricercatori di sicurezza si sono anche lamentati del fatto che OpenBounty elenca e accetta segnalazioni di bug bounty fornite da altre società di sicurezza e progetti di crittografia senza la loro autorizzazione. Tra i premi elencati sul sito Web OpenBounty ci sono quelli dell'exchange decentralizzato Uniswap e del protocollo di prestito Compound. "In qualità di consulente per la sicurezza di Compound DAO presso OpenZeppelin, posso affermare con autorevolezza che non sono autorizzati a gestire i bug bounty per conto del protocollo", ha affermato Michael Lewellen, direttore dell'architettura delle soluzioni presso la società di sicurezza crittografica OpenZeppelin, CEO della piattaforma bug bounty HackenProof Dmytro Matviiv ha dichiarato: “Elencare i premi senza autorizzazione può avere conseguenze legali. Il mercato dei bug bounty opera secondo un processo legale ben ponderato. In base a questo sistema, è importante inserire i premi sulle piattaforme di bug bounty ottenuto prima di andare online." Un portavoce di CertiK ha confermato che Shentu, l'entità che controlla la piattaforma OpenBounty, una volta faceva parte di CertiK, tuttavia, Shentu opera in modo autonomo come entità indipendente dal 2020. Tuttavia, quattro anni dopo la scissione, il codice sulla piattaforma OpenBounty si collega ancora ai domini con CertiK nel nome. Tuttavia, un portavoce di CertiK ha affermato che i domini sono gestiti in modo indipendente da Shentu. (Notizie DL)
Visualizza originale
La piattaforma Bug Bounty OpenBounty pubblica un rapporto sulle vulnerabilità, i ricercatori lo definiscono "estremamente irresponsabile"
Disclaimer: include opinioni di terze parti. Non è una consulenza finanziaria. Può includere contenuti sponsorizzati. Consulta i T&C.
CTK
0,5481
+2.10%
Risposte 0
Scopri le ultime notizie sulle crypto
⚡️ Partecipa alle ultime discussioni sulle crypto
💬 Interagisci con i tuoi creator preferiti
👍 Goditi i contenuti che ti interessano
Email / numero di telefono
Creator pertinente
LIVE
@Square-Creator-45ff2a536