Odaily Planet Daily poinformował, że platforma OpenBounty z nagrodami za luki w zabezpieczeniach została skrytykowana przez innych badaczy bezpieczeństwa, ponieważ niektórzy użytkownicy odkryli, że przesłane przez nich raporty o lukach w zabezpieczeniach zostały opublikowane w publicznym łańcuchu. Kiedy OpenBounty otrzymuje raporty, automatycznie publikuje ich zawartość jako transakcje w Shentu, łańcuchu bloków prowadzonym przez spółkę-matkę OpenBounty, Fundację Shentu. Ujawnione szczegóły obejmują poziom zagrożenia luką, lokalizację potencjalnie podatnego kodu oraz komentarz autora raportu. Niezależny badacz bezpieczeństwa Pascal Caversaccio stwierdził, że publiczne ujawnianie potencjalnych luk jest skrajnie nieodpowiedzialne i każdy haker może przejrzeć te raporty i je wykorzystać. OpenBounty zawiera listę programów nagród za błędy oferowanych przez ponad 30 projektów kryptograficznych, z łączną wartością depozytów przekraczającą 11 miliardów dolarów. Badacze bezpieczeństwa skarżyli się również, że OpenBounty bez ich zgody wyświetla i akceptuje raporty z nagrodami za błędy dostarczane przez inne firmy zajmujące się bezpieczeństwem i projekty szyfrowania. Wśród nagród wymienionych na stronie OpenBounty znajdują się nagrody ze zdecentralizowanej giełdy Uniswap i protokołu pożyczkowego Compound. „Jako konsultant ds. bezpieczeństwa Compound DAO w OpenZeppelin mogę autorytatywnie powiedzieć, że nie jest on upoważniony do zarządzania nagrodami za błędy w imieniu protokołu” – powiedział Michael Lewellen, dyrektor ds. architektury rozwiązań w firmie zajmującej się bezpieczeństwem kryptograficznym OpenZeppelin, dyrektor generalny platformy bug bounty HackenProof Dmytro Matviiv powiedział: „Wystawianie nagród bez pozwolenia może mieć konsekwencje prawne. Rynek nagród za błędy działa w ramach dobrze przemyślanego procesu prawnego. W ramach tego systemu ważne jest, aby umieszczanie nagród na platformach nagród za błędy wymagało zgody wydawcy nagród uzyskane przed udostępnieniem w Internecie.” Rzecznik CertiK potwierdził, że Shentu, podmiot kontrolujący platformę OpenBounty, był kiedyś częścią CertiK, jednak od 2020 roku Shentu działa autonomicznie jako niezależny podmiot. Mimo to, cztery lata po podziale, kod na platformie OpenBounty nadal łączy się z domenami posiadającymi CertiK w nazwie. Rzecznik CertiK powiedział jednak, że Shentu zarządza niezależnymi domenami. (Wiadomości DL)
Zobacz oryginał
Platforma nagradzania błędów OpenBounty publicznie publikuje raport o lukach w zabezpieczeniach, badacze nazywają to „wyjątkowo nieodpowiedzialnym”
Zastrzeżenie: Zawiera opinie stron zewnętrznych. To nie jest porada finansowa. Może zawierać treści sponsorowane. Zobacz Regulamin
CTK
0,5491
+0.77%
Odpowiedzi 0
Zapoznaj się z najnowszymi wiadomościami na temat krypto
⚡️ Weź udział w najnowszych dyskusjach na temat krypto
💬 Współpracuj ze swoimi ulubionymi twórcami
👍 Ciesz się treściami, które Cię interesują
E-mail / Numer telefonu
Odpowiedni twórca
LIVE
@Square-Creator-45ff2a536