漏洞赏金平台 OpenBounty 公开发布漏洞报告，研究人员称其“不负责任”

链捕手ChainCatcher · 2024-07-03T01:44:40.000Z

ChainCatcher 消息，据 DL News 报道，漏洞赏金平台 OpenBounty 遭到同行安全研究人员的批评，因为有用户发现他们提交的漏洞报告被发布在了一个公开的区块链上。当 OpenBounty 收到报告时，它会自动将这些报告的内容作为交易发布在 Shentu上，这是一个由 OpenBounty 的母公司 Shentu Foundation 运行的区块链。被公开的细节包括漏洞的威胁级别、潜在易受攻击代码的位置以及报告作者的评论。OpenBounty 列出了 30 多个不同的加密项目提供的漏洞赏金，总存款价值超过 110 亿美元。独立安全研究人员 Pascal Caversaccio 表示，公开泄露潜在的漏洞是极其不负责任的，任何黑客都可以筛选这些报告并利用它们。安全研究人员还抱怨说，OpenBounty 列出并接受了其他安全公司和加密项目提供的漏洞赏金报告，而这些公司和项目并未授权。在 OpenBounty 网站上列出的赏金中，包括来自顶级去中心化交易所 Uniswap 和借贷协议 Compound 的赏金。加密安全公司 OpenZeppelin 的解决方案架构主管 Michael Lewellen 表示：“作为 Compound DAO 在 OpenZeppelin 的安全顾问，我可以权威地说，他们并未获得授权代表该协议管理漏洞赏金。” 漏洞赏金平台 HackenProof 的首席执行官 Dmytro Matviiv 表示：“未经许可就列出赏金可能会产生法律后果。漏洞赏金市场是在一个经过深思熟虑的法律流程下运作的。在这个体系下，在将赏金放在漏洞赏金平台上之前，必须获得赏金发布者的许可。” CertiK 的一位发言人证实，控制 OpenBounty 平台的实体 Shentu 曾经是 CertiK 的一部分，然而，自 2020 年以来，Shentu 就一直作为一个独立的实体自主运营。不过，在分裂四年后，OpenBounty 平台上的代码仍然链接到名称中包含 CertiK 的域名。不过，CertiK 的发言人表示，这些域名是由 Shentu 独立管理的。

Новости ChainCatcher, по данным DL News, платформа OpenBounty для поиска ошибок подверглась критике со стороны коллег-исследователей безопасности после того, как пользователи обнаружили, что отправленные ими отчеты об уязвимостях были опубликованы в публичном блокчейне. Когда OpenBounty получает отчеты, она автоматически публикует содержимое этих отчетов в виде транзакций в Shentu, блокчейне, управляемом материнской компанией OpenBounty, Shentu Foundation. Раскрытые подробности включают уровень угрозы уязвимости, расположение потенциально уязвимого кода и комментарии автора отчета. OpenBounty перечисляет вознаграждения за обнаружение ошибок, предлагаемые более чем 30 различными криптопроектами с общей суммой депозитов более 11 миллиардов долларов.
Независимый исследователь безопасности Паскаль Каверсаччо заявил, что публичная утечка информации о потенциальных уязвимостях крайне безответственна, и любой хакер может просмотреть эти отчеты и использовать их. Исследователи безопасности также жалуются, что OpenBounty перечисляет и принимает отчеты об ошибках от других компаний, занимающихся безопасностью, и криптографических проектов, которые она не авторизует. Среди вознаграждений, перечисленных на веб-сайте OpenBounty, есть награды от ведущей децентрализованной биржи Uniswap и протокола кредитования Compound.
«Как консультант по безопасности Compound DAO в OpenZeppelin, я могу авторитетно заявить, что они не уполномочены администрировать вознаграждения за ошибки от имени протокола», — сказал Майкл Левеллен, директор по архитектуре решений в компании по криптографической безопасности OpenZeppelin.
Дмитрий Матвиев, генеральный директор платформы вознаграждений за обнаружение ошибок HackenProof, сказал: «Перечисление вознаграждений за обнаружение ошибок без разрешения может иметь юридические последствия. В рамках этой системы рынок вознаграждений за обнаружение ошибок работает в соответствии с хорошо продуманной юридической процедурой. платформе, вы должны получить разрешение от издателя баунти».
Представитель CertiK подтвердил, что Shentu, организация, контролирующая платформу OpenBounty, когда-то была частью CertiK, однако с 2020 года Shentu работает автономно как отдельная организация. Тем не менее, спустя четыре года после разделения код на платформе OpenBounty по-прежнему ссылается на домены с CertiK в своих именах. Однако представитель CertiK заявил, что домены управляются Shentu независимо.

Другие публикации автора

Последние новости

Другие публикации автора

Последние новости

Популярные статьи