PANews informou em 3 de julho que, de acordo com DL News, a plataforma de recompensas por vulnerabilidades OpenBounty foi criticada por colegas pesquisadores de segurança porque alguns usuários descobriram que os relatórios de vulnerabilidade que enviaram foram publicados em um blockchain público. Quando o OpenBounty recebe relatórios, ele publica automaticamente o conteúdo desses relatórios como transações no Shentu, um blockchain administrado pela empresa controladora do OpenBounty, a Fundação Shentu. Os detalhes divulgados incluem o nível de ameaça da vulnerabilidade, a localização do código potencialmente vulnerável e comentários do autor do relatório. OpenBounty lista recompensas por bugs oferecidas por mais de 30 projetos de criptografia diferentes, com depósitos totais no valor de mais de US$ 11 bilhões.

O pesquisador de segurança independente Pascal Caversaccio disse que o vazamento público de vulnerabilidades potenciais é extremamente irresponsável e qualquer hacker pode examinar esses relatórios e explorá-los. Pesquisadores de segurança também reclamaram que o OpenBounty lista e aceita relatórios de recompensas de bugs de outras empresas de segurança e projetos criptográficos que não autoriza. Entre as recompensas listadas no site OpenBounty estão as da principal bolsa descentralizada Uniswap e do protocolo de empréstimo Compound. “Como consultor de segurança da Compound DAO na OpenZeppelin, posso dizer com autoridade que eles não estão autorizados a gerenciar recompensas de bugs em nome do protocolo”, disse Michael Lewellen, diretor de arquitetura de soluções da empresa de segurança criptográfica OpenZeppelin e executivo-chefe da plataforma de recompensas de bugs HackenProof O CEO Dmytro Matviiv disse: "Listar recompensas sem permissão pode ter consequências legais. O mercado de recompensas por bugs opera sob um processo legal bem pensado. Sob este sistema, é muito difícil colocar recompensas em recompensas por bugs. A permissão deve ser obtida. do editor de recompensas antes de ser colocado na plataforma de ouro.”

Um porta-voz da CertiK confirmou que Shentu, a entidade que controla a plataforma OpenBounty, já fez parte da CertiK, no entanto, Shentu opera de forma autônoma como uma entidade separada desde 2020; Ainda assim, quatro anos após a divisão, o código da plataforma OpenBounty ainda está vinculado a domínios com CertiK em seus nomes. No entanto, um porta-voz da CertiK disse que esses domínios são gerenciados de forma independente pela Shentu.