Platforma nagród za błędy OpenBounty znalazła się pod ostrzałem innych badaczy bezpieczeństwa po odkryciu, że raporty o błędach przesłane przez użytkowników są publikowane w publicznym łańcuchu bloków.
Kiedy OpenBounty otrzymuje raporty, automatycznie publikuje ich zawartość w transakcjach na Shentu, łańcuchu bloków prowadzonym przez organizację nadrzędną OpenBounty, Fundację Shentu.
Szczegóły upublicznione obejmują poziom zagrożenia błędem, lokalizację potencjalnie podatnego kodu oraz komentarze autora raportu.
„Publiczne ujawnianie potencjalnych błędów jest szalenie nieodpowiedzialne” – powiedział DL News Pascal Caversaccio, niezależny badacz bezpieczeństwa, który jako pierwszy zidentyfikował problem. „Każdy czarny kapelusz mógłby przeglądać raporty i je wykorzystywać”.
Blackhat odnosi się do hakerów, którzy wykorzystują błędy do złośliwych celów, w tym do kradzieży pieniędzy, haseł lub danych.
OpenBounty zawiera listę nagród za błędy zapewnianych przez ponad 30 różnych projektów kryptograficznych o łącznej wartości depozytów przekraczającej 11 miliardów dolarów.
OpenBounty nie odpowiedziało na prośby DL News o komentarz.
Nagrody za błędy to nagrody oferowane przez projekty kryptograficzne tym, którzy pomyślnie zidentyfikują błędy w kodzie projektu.
Nagrody za błędy są ważne, ponieważ zachęcają programistów do szukania błędów w kodzie open source i odradzają tym, którzy znajdą błędy, wykorzystywanie ich do celów finansowych.
Wiele projektów kryptograficznych oferuje nagrody w wysokości ponad 1 miliona dolarów dla tych, którzy zidentyfikują najpoważniejsze błędy.
Przesyłanie nagród za błędy
Badacze bezpieczeństwa narzekają również, że OpenBounty bez ich zgody wyświetla listy i akceptuje raporty dotyczące nagród za błędy zapewniane przez inne firmy zajmujące się bezpieczeństwem i projekty kryptograficzne.
Nagrody od najlepszej zdecentralizowanej giełdy Uniswap i protokołu pożyczkowego Compound znajdują się wśród tych wymienionych na stronie internetowej OpenBounty.
„Jako doradca OpenZeppelin ds. bezpieczeństwa w Compound DAO mogę z pełnym przekonaniem powiedzieć, że nie jest on upoważniony do zarządzania nagrodami za błędy w imieniu protokołu” – powiedział DL News Michael Lewellen, szef architektury rozwiązań w firmie OpenZeppelin zajmującej się bezpieczeństwem kryptograficznym.
Ogłaszanie ogłoszeń o nagrodach bez pozwolenia może mieć konsekwencje prawne, powiedział DL News Dmytro Matviiv, dyrektor generalny platformy zgłaszania błędów HackenProof.
Matviiv powiedział, że rynek nagród za błędy działa w ramach dobrze przemyślanego procesu prawnego. Według niego w ramach tego systemu obowiązkowe jest uzyskanie zgody wystawcy nagród przed umieszczeniem nagrody na platformie zgłaszania błędów.
OpenBounty pełni rolę pośrednika pomiędzy osobami znajdującymi błędy a projektami oferującymi nagrody. Trudno więc mieć pewność, czy przekazuje wszystkie otrzymane raporty o błędach odpowiednim stronom i w pełni docenia tych, którzy je znaleźli.
Niektóre programy nagród za błędy wymienione przez OpenBounty, takie jak ten prowadzony przez Uniswap, mówią, że raporty o błędach należy przesyłać bezpośrednio do Uniswap, a nie za pośrednictwem strony trzeciej.
Połączenie CertiK
Sytuacja w OpenBounty to ostatnia kontrowersja związana z audytorem kryptowalut CertiK.
W czerwcu CertiK został ostro skrytykowany po tym, jak wykorzystał błąd do wypłaty prawie 3 milionów dolarów z giełdy kryptowalut Kraken.
Chociaż CertiK później zwrócił środki, dane onchain pokazują, że adres powiązany z CertiK wysłał część środków do zatwierdzonego protokołu DeFi Tornado Cash.
Rzecznik CertiK potwierdził DL News, że Shentu, podmiot kontrolujący platformę OpenBounty, był kiedyś częścią CertiK.
Od 2020 roku Shentu działa jednak autonomicznie, jako niezależny podmiot.
Mimo to, cztery lata po podziale, kod w platformie OpenBounty nadal łączy się z domenami posiadającymi CertiK w nazwie.
Takie domeny są niezależnie zarządzane przez Shentu, powiedział rzecznik CertiK.
Tim Craig jest korespondentem DeFi w DL News. Masz wskazówkę? Wyślij mu e-mail na adres tim@dlnews.com.