Platforma de recompense pentru erori OpenBounty este criticată de colegii cercetători în domeniul securității, după ce s-a descoperit că rapoartele de erori trimise de utilizatori sunt postate pe un blockchain public.

Când OpenBounty primește rapoarte, postează automat conținutul acestora în tranzacții pe Shentu, un blockchain condus de organizația-mamă a OpenBounty, Shentu Foundation.

Detaliile făcute publice includ nivelul de amenințare al erorii, locația codului potențial vulnerabil și comentariile autorului raportului.

„Scurgerile de erori potențiale în mod public este nebun de iresponsabilă”, a declarat pentru DL News Pascal Caversaccio, un cercetător independent de securitate care a identificat prima problemă. „Orice pălărie neagră ar putea verifica rapoartele pentru a le exploata.”

Blackhat se referă la hackeri care exploatează erori în scopuri rău intenționate, inclusiv furtul de bani, parole sau date.

OpenBounty listează recompensele de erori oferite de peste 30 de proiecte cripto diferite, cu o valoare combinată a depozitului de peste 11 miliarde USD.

OpenBounty nu a răspuns solicitărilor de comentarii ale DL News.

Recompensele pentru erori sunt recompense oferite de proiectele cripto celor care identifică cu succes erorile în codul unui proiect.

Recompensele pentru erori sunt importante deoarece stimulează dezvoltatorii să caute erori în codul open-source și îi descurajează pe cei care găsesc erori să le exploateze pentru câștiguri monetare.

Multe proiecte cripto oferă recompense de peste 1 milion de dolari celor care identifică cele mai grave erori.

Recompense de bug-uri de piggyback

Cercetătorii de securitate se plâng, de asemenea, că OpenBounty listează și acceptă rapoarte pentru recompensele de erori furnizate de alte firme de securitate și proiecte criptografice fără permisiunea lor.

Recompensele de la bursa descentralizată de top Uniswap și protocolul de împrumut Compound se numără printre cele listate pe site-ul OpenBounty.

„În calitate de consilier de securitate al OpenZeppelin al Compound DAO, pot spune cu autoritate că nu sunt autorizați să gestioneze o recompensă pentru erori în numele protocolului”, a declarat Michael Lewellen, șeful arhitecturii soluțiilor la firma de securitate cripto OpenZeppelin, pentru DL News.

Listarea recompenselor fără permisiune ar putea avea consecințe legale, a declarat Dmytro Matviiv, CEO al platformei de recompense pentru bug HackenProof, pentru DL News.

Matviiv a spus că piața de recompense pentru bug funcționează într-un proces legal bine gândit. În cadrul acestui sistem, a spus el, este obligatoriu să obțineți permisiunea unui emitent de recompense înainte de a plasa recompensă pe o platformă de recompensă de erori.

OpenBounty acționează ca intermediar între cei care găsesc erori și proiectele care oferă recompense. Prin urmare, este greu de știut cu siguranță dacă transmite toate rapoartele de erori pe care le primește părților corespunzătoare și îi creditează pe deplin pe cei care le-au găsit.

Unele programe de recompensă de erori listate de OpenBounty, cum ar fi cel condus de Uniswap, spun că rapoartele de erori trebuie trimise direct către Uniswap, și nu printr-o terță parte.

Conexiunea CertiK

Situația de la OpenBounty este cea mai recentă controversă legată de cripto auditorul CertiK.

În iunie, CertiK a fost aspru criticat după ce a folosit o eroare pentru a retrage aproape 3 milioane de dolari din schimbul criptografic Kraken.

Deși CertiK a returnat ulterior fondurile, înregistrările onchain arată că o adresă legată de CertiK a trimis o parte din fonduri către protocolul DeFi sancționat Tornado Cash.

Un purtător de cuvânt al CertiK a confirmat pentru DL News că Shentu, entitatea care controlează platforma OpenBounty, a făcut parte din CertiK.

Din 2020, însă, Shentu a funcționat autonom ca entitate independentă.

Totuși, la patru ani de la despărțire, codul din platforma OpenBounty încă se conectează la domenii cu CertiK în numele lor.

Astfel de domenii sunt gestionate independent de Shentu, a spus purtătorul de cuvânt al CertiK.

Tim Craig este corespondent DeFi la DL News. Ai un pont? Trimiteți-i un e-mail la tim@dlnews.com.