A CertiK-linked platform posts bug reports publicly. Researchers say it’s ‘insanely irresponsible’

DL News · 2024-07-02T16:11:42.000Z

Bug bounty platform OpenBounty is under fire from fellow security researchers after it was discovered that the bug reports submitted by users are posted on a public blockchain. When OpenBounty receives reports, it automatically posts their contents in transactions on Shentu, a blockchain run by OpenBounty’s parent organisation, the Shentu Foundation. Details made public include the bug’s threat level, the location of the potentially vulnerable code, and comments from the report’s author. “Leaking potential bugs publicly is insanely irresponsible,” Pascal Caversaccio, an independent security researcher who first identified the issue, told DL News. “Any blackhat could screen the reports to exploit them.” Blackhat refers to hackers who exploit bugs for malicious purposes, including theft of money, passwords, or data. OpenBounty lists bug bounties provided by over 30 different crypto projects with a combined deposit value of more than $11 billion. OpenBounty did not respond to DL News’ requests for comment. Bug bounties are rewards offered by crypto projects to those who successfully identify bugs in a project’s code. Bug bounties are important because they incentivise developers to look for bugs in open-source code, and dissuade those who find bugs from exploiting them for monetary gain. Many crypto projects offer bounties of over $1 million to those who identify the most severe bugs. Piggybacking bug bounties Security researchers also complain that OpenBounty lists and accepts reports for bug bounties provided by other security firms and crypto projects without their permission. Bounties from top decentralised exchange Uniswap and lending protocol Compound are among those listed on the OpenBounty website. “As OpenZeppelin’s security advisor to the Compound DAO, I can say with authority that they are not authorised to be managing a bug bounty on the protocol’s behalf,” Michael Lewellen, head of solutions architecture at crypto security firm OpenZeppelin, told DL News. Listing bounties without permission could have legal consequences, Dmytro Matviiv, CEO of bug bounty platform HackenProof, told DL News. Matviiv said the bug bounty market operates within a well-thought-out legal process. Under this system, he said, it’s mandatory to obtain a bounty issuer’s permission before placing their bounty on a bug bounty platform. OpenBounty acts as a middleman between those finding bugs and the projects offering bounties. So it’s hard to know for certain if it is passing along all the bug reports it receives to the proper parties and is fully crediting those who found them. Some bug bounty programmes listed by OpenBounty, such the one run by Uniswap, say that bug reports must be submitted directly to Uniswap, and not via a third party. The CertiK connection The situation at OpenBounty is the latest controversy linked to crypto auditor CertiK. In June, CertiK was roundly criticised after it used a bug to withdraw almost $3 million from crypto exchange Kraken. Although CertiK later returned the funds, onchain records show that a CertiK-linked address sent some of the funds to sanctioned DeFi protocol Tornado Cash. A CertiK spokesperson confirmed to DL News that Shentu, the entity that controls the OpenBounty platform, used to be part of CertiK. Since 2020, however, Shentu has operated autonomously as an independent entity. Still, four years after the split, code in the OpenBounty platform still links to domains with CertiK in their name. Such domains are independently managed by Shentu, the CertiK spokesperson said. Tim Craig is a DeFi Correspondent at DL News. Got a tip? Email him at tim@dlnews.com.

Kļūdu veltes platforma OpenBounty ir pakļauta citu drošības pētnieku kritikai pēc tam, kad tika atklāts, ka lietotāju iesniegtie kļūdu ziņojumi ir ievietoti publiskā blokķēdē.
Kad OpenBounty saņem pārskatus, tas automātiski ievieto to saturu darījumos Shentu — blokķēdē, kuru vada OpenBounty mātes organizācija Shentu Foundation.
Publiski publiskotā informācija ietver kļūdas draudu līmeni, potenciāli ievainojamā koda atrašanās vietu un ziņojuma autora komentārus.
"Publiski nopludināt potenciālās kļūdas ir ārprātīgi bezatbildīgi," DL News sacīja neatkarīgs drošības pētnieks Paskāls Kaversačo, kurš pirmais identificēja problēmu. "Jebkura melnādaka varētu pārbaudīt ziņojumus, lai tos izmantotu."
Blackhat attiecas uz hakeriem, kuri izmanto kļūdas ļaunprātīgiem nolūkiem, tostarp naudas, paroļu vai datu zādzībām.
OpenBounty uzskaita kļūdas, ko nodrošina vairāk nekā 30 dažādi kriptovalūtu projekti, kuru kopējā depozīta vērtība pārsniedz 11 miljardus USD.
OpenBounty neatbildēja uz DL News komentāriem.
Kļūdu balvas ir balvas, ko kriptovalūtu projekti piedāvā tiem, kuri veiksmīgi identificē kļūdas projekta kodā.
Kļūdu kompensācijas ir svarīgas, jo tās mudina izstrādātājus meklēt kļūdas atvērtā pirmkoda kodā un attur tos, kuri atrod kļūdas, tos izmantot naudas ieguvei.
Daudzi kriptogrāfijas projekti piedāvā balvas vairāk nekā 1 miljona ASV dolāru apmērā tiem, kuri identificē vissmagākās kļūdas.
Blēžu balvas
Drošības pētnieki arī sūdzas, ka OpenBounty bez viņu atļaujas uzskaita un pieņem ziņojumus par kļūdu piemaksām, ko nodrošina citas drošības firmas un kriptogrāfijas projekti.
Balvas no augstākās decentralizētās biržas Uniswap un aizdošanas protokola Compound ir starp tiem, kas uzskaitīti OpenBounty vietnē.
“Kā OpenZeppelin drošības padomnieks Compound DAO es varu apgalvot, ka viņi nav pilnvaroti protokola vārdā pārvaldīt kļūdu atlīdzību,” DL News sacīja Maikls Levelens, kriptovalūtu drošības firmas OpenZeppelin risinājumu arhitektūras vadītājs.
Atlīdzību iekļaušanai sarakstā bez atļaujas var būt juridiskas sekas, DL News sacīja Dmytro Matviiv, kļūdu novēršanas platformas HackenProof izpilddirektors.
Matviiv teica, ka kļūdu tirgus darbojas labi pārdomātā juridiskā procesā. Viņš teica, ka saskaņā ar šo sistēmu ir obligāti jāsaņem dāvinājuma izdevēja atļauja, pirms viņa balvas ievieto kļūdu atlīdzības platformā.
OpenBounty darbojas kā starpnieks starp tiem, kas atrod kļūdas, un projektiem, kas piedāvā balvas. Tāpēc ir grūti precīzi zināt, vai tas visus saņemtos kļūdu ziņojumus nosūta atbilstošajām pusēm un pilnībā atzīst tos, kuri tos atrada.
Dažās OpenBounty uzskaitītajās kļūdu atlīdzības programmās, piemēram, Uniswap, teikts, ka kļūdu ziņojumi ir jāiesniedz tieši Uniswap, nevis ar trešās puses starpniecību.
CertiK savienojums
Situācija OpenBounty ir jaunākā pretruna, kas saistīta ar kriptovalūtu auditoru CertiK.
Jūnijā CertiK tika nopietni kritizēts pēc tam, kad tas izmantoja kļūdu, lai izņemtu gandrīz 3 miljonus USD no kriptovalūtu biržas Kraken.
Lai gan CertiK vēlāk atgrieza līdzekļus, onchain ieraksti liecina, ka ar CertiK saistīta adrese nosūtīja daļu līdzekļu uz sankcionētu DeFi protokolu Tornado Cash.
CertiK pārstāvis DL News apstiprināja, ka Shentu, uzņēmums, kas kontrolē OpenBounty platformu, agrāk bija daļa no CertiK.
Tomēr kopš 2020. gada Shentu ir darbojies autonomi kā neatkarīga vienība.
Tomēr četrus gadus pēc sadalīšanas OpenBounty platformas kods joprojām ir saistīts ar domēniem, kuru nosaukumā ir CertiK.
Šādus domēnus neatkarīgi pārvalda Shentu, sacīja CertiK pārstāvis.
Tims Kreigs ir DL News DeFi korespondents. Vai jums ir padoms? Nosūtiet viņam e-pastu uz tim@dlnews.com.

Apskati vairāk satura no autora

Jaunākās ziņas