バグ報奨金プラットフォームOpenBountyは、ユーザーが提出したバグレポートがパブリックブロックチェーンに投稿されていることが発覚し、セキュリティ研究者仲間から非難を浴びている。

OpenBounty はレポートを受け取ると、その内容を、OpenBounty の親組織である Shentu Foundation が運営するブロックチェーンである Shentu のトランザクションに自動的に投稿します。

公開された詳細には、バグの脅威レベル、潜在的に脆弱なコードの場所、レポートの作成者からのコメントなどが含まれています。

「潜在的なバグを公に漏らすのは、極めて無責任だ」と、この問題を最初に発見した独立系セキュリティ研究者のパスカル・カヴェルサッチオ氏はDLニュースに語った。「どんなブラックハットでも、レポートを精査して悪用することができる」

ブラックハットとは、金銭、パスワード、データの盗難など、悪意のある目的でバグを悪用するハッカーを指します。

OpenBounty には、30 を超えるさまざまな暗号プロジェクトによって提供されたバグ報奨金がリストされており、その総額は 110 億ドルを超えます。

OpenBountyはDL Newsのコメント要請に応じなかった。

バグ報奨金は、暗号プロジェクトがプロジェクトのコード内のバグを正常に特定した人に提供する報酬です。

バグ報奨金制度が重要なのは、開発者がオープンソース コードのバグを探すよう奨励し、バグを発見した人が金銭目的でバグを悪用するのを思いとどまらせるためです。

多くの暗号プロジェクトでは、最も深刻なバグを特定した人に 100 万ドルを超える報奨金を提供しています。

バグ報奨金の便乗

セキュリティ研究者らはまた、OpenBountyが他のセキュリティ企業や暗号プロジェクトから許可なく提供されたバグ報奨金の報告をリスト化し、受け入れていると不満を述べている。

OpenBountyのウェブサイトに掲載されている報奨金の中には、トップの分散型取引所Uniswapや貸付プロトコルCompoundからの報奨金も含まれています。

「コンパウンドDAOのオープンツェッペリンのセキュリティアドバイザーとして、私は彼らにプロトコルに代わってバグ報奨金を管理する権限がないことを自信を持って言えます」と暗号セキュリティ企業オープンツェッペリンのソリューションアーキテクチャ責任者マイケル・ルウェレン氏はDLニュースに語った。

バグ報奨金プラットフォームHackenProofのCEO、Dmytro Matviiv氏はDL Newsに対し、許可なく報奨金を掲載すると法的措置が取られる可能性があると語った。

マトヴィーヴ氏は、バグ報奨金市場はよく考えられた法的​​手続きに基づいて運営されていると述べた。同氏によると、このシステムでは、バグ報奨金プラットフォームに報奨金を出す前に、報奨金発行者の許可を得ることが必須となっている。

OpenBounty は、バグを発見した人と報奨金を提供するプロジェクトの間の仲介役として機能します。そのため、受け取ったバグ報告がすべて適切な関係者に渡され、バグを発見した人に十分な謝意が表されているかどうかを確実に知ることは困難です。

OpenBounty がリストしているバグ報奨金プログラムの中には、Uniswap が運営しているものなど、第三者を介さずに Uniswap に直接バグレポートを提出しなければならないとしているものもあります。

CertiK接続

OpenBountyの状況は、暗号監査会社CertiKに関連する最新の論争です。

6月、CertiKはバグを利用して仮想通貨取引所クラーケンから300万ドル近くを引き出したことで激しく批判された。

CertiKは後に資金を返還したが、オンチェーンの記録によると、CertiKにリンクされたアドレスが資金の一部を認可されたDeFiプロトコルTornado Cashに送金したことが判明している。

CertiKの広報担当者はDL Newsに対し、OpenBountyプラットフォームを管理するShentuがかつてはCertiKの一部であったことを認めた。

しかし、2020年以降、Shentuは独立した組織として自律的に運営されています。

それでも、分割から 4 年が経過した現在でも、OpenBounty プラットフォームのコードは、名前に CertiK が含まれるドメインにリンクされています。

CertiKの広報担当者は、こうしたドメインはShentuによって独自に管理されていると述べた。

Tim Craig は DL News の DeFi 特派員です。ヒントはありますか? tim@dlnews.com までメールしてください。