Odaily Planet Daily relatou que a plataforma de recompensas de vulnerabilidade OpenBounty foi criticada por colegas pesquisadores de segurança porque alguns usuários descobriram que os relatórios de vulnerabilidade que enviaram foram publicados em uma rede pública. Quando o OpenBounty recebe relatórios, ele publica automaticamente o conteúdo desses relatórios como transações no Shentu, o blockchain administrado pela empresa controladora do OpenBounty, a Fundação Shentu. Os detalhes divulgados incluem o nível de ameaça da vulnerabilidade, a localização do código potencialmente vulnerável e comentários do autor do relatório. O pesquisador de segurança independente Pascal Caversaccio disse que o vazamento público de vulnerabilidades potenciais é extremamente irresponsável e que qualquer hacker pode examinar esses relatórios e explorá-los. OpenBounty lista programas de recompensa por bugs oferecidos por mais de 30 projetos de criptografia, com depósitos totais no valor de mais de US$ 11 bilhões. Os pesquisadores de segurança também reclamaram que o OpenBounty lista e aceita relatórios de recompensas de bugs fornecidos por outras empresas de segurança e projetos de criptografia sem sua permissão. Entre as recompensas listadas no site OpenBounty estão as da bolsa descentralizada Uniswap e do protocolo de empréstimo Compound. “Como consultor de segurança da Compound DAO na OpenZeppelin, posso dizer com autoridade que eles não estão autorizados a gerenciar recompensas de bugs em nome do protocolo”, disse Michael Lewellen, diretor de arquitetura de soluções da empresa de segurança criptográfica OpenZeppelin, CEO da plataforma de recompensas de bugs HackenProof Dmytro. Matviiv disse: “Listar recompensas sem permissão pode ter consequências legais. O mercado de recompensas por bugs opera sob um processo legal bem pensado. Sob este sistema, é importante colocar recompensas em plataformas de recompensas por bugs. obtido antes de ficar online.” Um porta-voz da CertiK confirmou que Shentu, a entidade que controla a plataforma OpenBounty, já fez parte da CertiK, no entanto, Shentu opera de forma autônoma como uma entidade independente desde 2020. Ainda assim, quatro anos após a divisão, o código da plataforma OpenBounty ainda está vinculado a domínios com CertiK em seus nomes. No entanto, um porta-voz da CertiK disse que os domínios são gerenciados de forma independente pela Shentu. (DL Notícias)
Ver original
A plataforma de recompensas por bugs OpenBounty divulga publicamente um relatório de vulnerabilidade, os pesquisadores chamam isso de "extremamente irresponsável"
Aviso legal: contém opiniões de terceiros. Não é um aconselhamento financeiro. Pode incluir conteúdo patrocinado. Consulte os Termos e Condições.
CTK
0,548
+2.23%
Respostas 0
Explore as últimas notícias sobre criptomoedas
⚡️ Participe das discussões mais recentes sobre criptomoedas
💬 Interaja com seus criadores favoritos
👍 Desfrute de conteúdos que lhe interessam
E-mail / número de telefone
Criador Relevante
LIVE
@Square-Creator-45ff2a536