Odaily Planet Daily сообщила, что платформа OpenBounty по вознаграждению за уязвимости подверглась критике со стороны коллег-исследователей безопасности, поскольку некоторые пользователи обнаружили, что отправленные ими отчеты об уязвимостях были опубликованы в общедоступной сети. Когда OpenBounty получает отчеты, он автоматически публикует содержимое этих отчетов в виде транзакций в Shentu, блокчейне, которым управляет материнская компания OpenBounty, Shentu Foundation. Раскрытые подробности включают уровень угрозы уязвимости, расположение потенциально уязвимого кода и комментарии автора отчета. Независимый исследователь безопасности Паскаль Каверсаччо заявил, что публичная утечка информации о потенциальных уязвимостях крайне безответственна, и любой хакер может просмотреть эти отчеты и использовать их. OpenBounty перечисляет программы вознаграждения за обнаружение ошибок, предлагаемые более чем 30 криптопроектами с общей суммой депозитов более 11 миллиардов долларов. Исследователи безопасности также жаловались, что OpenBounty перечисляет и принимает отчеты об ошибках, предоставленные другими охранными компаниями и проектами шифрования, без их разрешения. Среди вознаграждений, перечисленных на веб-сайте OpenBounty, есть награды от децентрализованной биржи Uniswap и протокола кредитования Compound. «Как консультант по безопасности Compound DAO в OpenZeppelin, я могу авторитетно заявить, что они не уполномочены управлять вознаграждениями за ошибки от имени протокола», — сказал Майкл Левеллен, директор по архитектуре решений компании криптографической безопасности OpenZeppelin, генеральный директор платформы обнаружения ошибок HackenProof Дмитрий. Матвиив сказал: «Размещение вознаграждений без разрешения может иметь юридические последствия. Рынок вознаграждений за обнаружение ошибок работает в соответствии с хорошо продуманной юридической процедурой. В соответствии с этой системой важно размещать вознаграждения на платформах вознаграждений за обнаружение ошибок. получено до выхода в Интернет». Представитель CertiK подтвердил, что Shentu, организация, контролирующая платформу OpenBounty, когда-то была частью CertiK, однако с 2020 года Shentu работает автономно как независимая организация. Тем не менее, спустя четыре года после разделения код на платформе OpenBounty по-прежнему ссылается на домены с CertiK в своих именах. Однако представитель CertiK заявил, что домены управляются Shentu независимо. (Новости ДЛ)
См. оригинал
Платформа Bug Bounty OpenBounty публично публикует отчет об уязвимостях, исследователи называют его «крайне безответственным»
Отказ от ответственности: на платформе опубликованы материалы и мнения третьих лиц. Не является финансовой рекомендацией. Может содержать спонсируемый контент. См. Правила и условия.
CTK
0,6392
-1.28%
Ответов: 0
Последние новости криптовалют
⚡️ Участвуйте в последних обсуждениях в криптомире
💬 Общайтесь с любимыми авторами
👍 Изучайте темы, которые вам интересны
Эл. почта/номер телефона
Связанные авторы
LIVE
@Square-Creator-45ff2a536
