Платформа Bug Bounty OpenBounty подверглась критике со стороны коллег-исследователей безопасности после того, как было обнаружено, что отчеты об ошибках, представленные пользователями, публикуются в общедоступном блокчейне.
Когда OpenBounty получает отчеты, она автоматически публикует их содержимое в транзакциях в Shentu, блокчейне, управляемом материнской организацией OpenBounty, Shentu Foundation.
Опубликованные подробности включают уровень угрозы ошибки, расположение потенциально уязвимого кода и комментарии автора отчета.
«Обнародовать потенциальные ошибки — это безумно безответственно», — сказал DL News Паскаль Каверсаччо, независимый исследователь безопасности, который первым выявил проблему. «Любая черная шляпа может просмотреть отчеты, чтобы использовать их».
Blackhat — это хакеры, которые используют ошибки в злонамеренных целях, включая кражу денег, паролей или данных.
OpenBounty перечисляет вознаграждения за обнаружение ошибок, предоставленные более чем 30 различными криптопроектами с общей суммой депозитов более 11 миллиардов долларов.
OpenBounty не ответила на запросы DL News о комментариях.
Bug bounty — это награды, предлагаемые криптопроектами тем, кто успешно выявляет ошибки в коде проекта.
Награды за обнаружение ошибок важны, поскольку они стимулируют разработчиков искать ошибки в открытом исходном коде и отговаривают тех, кто находит ошибки, использовать их для получения денежной выгоды.
Многие криптопроекты предлагают вознаграждение в размере более 1 миллиона долларов тем, кто обнаружит наиболее серьезные ошибки.
Награды за обнаружение ошибок
Исследователи безопасности также жалуются, что OpenBounty перечисляет и принимает отчеты о вознаграждениях за обнаружение ошибок, предоставленные другими охранными фирмами и криптопроектами без их разрешения.
Баунти от ведущей децентрализованной биржи Uniswap и протокола кредитования Compound входят в число тех, которые перечислены на веб-сайте OpenBounty.
«Как советник OpenZeppelin по безопасности в Compound DAO, я могу с уверенностью заявить, что они не уполномочены управлять вознаграждением за ошибки от имени протокола», — сказал DL News Майкл Левеллен, руководитель отдела архитектуры решений в компании по криптобезопасности OpenZeppelin.
Листинг вознаграждений без разрешения может иметь юридические последствия, сообщил DL News Дмитрий Матвиив, генеральный директор платформы по поиску ошибок HackenProof.
Матвиив отметил, что рынок вознаграждений за обнаружение ошибок работает в рамках хорошо продуманного юридического процесса. По его словам, в рамках этой системы необходимо получить разрешение поставщика вознаграждений, прежде чем размещать вознаграждение на платформе вознаграждения за обнаружение ошибок.
OpenBounty выступает посредником между теми, кто находит ошибки, и проектами, предлагающими вознаграждение. Поэтому трудно знать наверняка, передает ли он все полученные отчеты об ошибках соответствующим сторонам и полностью отдает должное тем, кто их нашел.
Некоторые программы вознаграждения за ошибки, перечисленные OpenBounty, например, программа Uniswap, говорят, что отчеты об ошибках должны отправляться непосредственно в Uniswap, а не через третью сторону.
Соединение Сертик
Ситуация в OpenBounty — последний скандал, связанный с криптоаудитором CertiK.
В июне CertiK подверглась резкой критике после того, как использовала ошибку для вывода почти 3 миллионов долларов с криптовалютной биржи Kraken.
Хотя позже CertiK вернула средства, записи в сети показывают, что адрес, связанный с CertiK, отправил часть средств на санкционированный протокол DeFi Tornado Cash.
Представитель CertiK подтвердил DL News, что Shentu, организация, контролирующая платформу OpenBounty, раньше была частью CertiK.
Однако с 2020 года Shentu действует автономно как независимая организация.
Тем не менее, спустя четыре года после разделения код платформы OpenBounty по-прежнему ссылается на домены с CertiK в названии.
По словам представителя CertiK, такими доменами самостоятельно управляет Shentu.
Тим Крейг — корреспондент DeFi в DL News. Есть подсказка? Напишите ему по адресу tim@dlnews.com.
