Hata ödül platformu OpenBounty, kullanıcılar tarafından gönderilen hata raporlarının halka açık bir blockchain'de yayınlandığının keşfedilmesinin ardından güvenlik araştırmacıları tarafından ateş altında.
OpenBounty raporları aldığında, bunların içeriklerini OpenBounty'nin ana kuruluşu Shentu Vakfı tarafından işletilen bir blockchain olan Shentu'daki işlemlerde otomatik olarak yayınlar.
Kamuya açıklanan ayrıntılar arasında hatanın tehdit düzeyi, potansiyel olarak savunmasız kodun konumu ve raporun yazarının yorumları yer alıyor.
Sorunu ilk tespit eden bağımsız güvenlik araştırmacısı Pascal Caversaccio, DL News'e şunları söyledi: "Potansiyel hataları kamuya sızdırmak son derece sorumsuz bir davranıştır." "Herhangi bir siyah şapkalı, raporları istismar etmek için tarayabilir."
Blackhat, para, şifre veya veri hırsızlığı da dahil olmak üzere kötü niyetli amaçlarla hatalardan yararlanan bilgisayar korsanlarını ifade eder.
OpenBounty, toplam mevduat değeri 11 milyar dolardan fazla olan 30'dan fazla farklı kripto projesi tarafından sağlanan hata ödüllerini listeliyor.
OpenBounty, DL News'in yorum taleplerine yanıt vermedi.
Hata ödülleri, kripto projeleri tarafından projenin kodundaki hataları başarılı bir şekilde tespit edenlere sunulan ödüllerdir.
Hata ödülleri önemlidir çünkü geliştiricileri açık kaynak kodundaki hataları aramaya teşvik eder ve hataları bulanları parasal kazanç için bunlardan yararlanmaktan caydırır.
Birçok kripto projesi, en ciddi hataları tespit edenlere 1 milyon doların üzerinde ödül sunuyor.
Hata ödüllerini sırtlamak
Güvenlik araştırmacıları ayrıca OpenBounty'nin diğer güvenlik firmaları ve kripto projeleri tarafından izinleri olmadan sağlanan hata ödüllerini listeleyip kabul etmesinden de şikayetçi.
En iyi merkezi olmayan borsa Uniswap ve borç verme protokolü Compound'dan gelen ödüller, OpenBounty web sitesinde listelenenler arasında yer alıyor.
Kripto güvenlik firması OpenZeppelin'in çözüm mimarisi başkanı Michael Lewellen, DL News'e şunları söyledi: "OpenZeppelin'in Compound DAO güvenlik danışmanı olarak, protokol adına bir hata ödülünü yönetmeye yetkili olmadıklarını otoriteyle söyleyebilirim."
Hata ödül platformu HackenProof'un CEO'su Dmytro Matviiv, DL News'e, ödülleri izinsiz listelemenin yasal sonuçlar doğurabileceğini söyledi.
Matviiv, hata ödülü pazarının iyi düşünülmüş bir yasal süreç içerisinde çalıştığını söyledi. Bu sistem kapsamında, ödüllerini bir hata ödül platformuna koymadan önce ödül veren kuruluşun iznini almanın zorunlu olduğunu söyledi.
OpenBounty, böcek bulanlarla ödül sunan projeler arasında aracı görevi görüyor. Bu nedenle, aldığı tüm hata raporlarını uygun taraflara aktarıp aktarmadığını ve bunları bulanlara tamamen itibar edip etmediğini kesin olarak bilmek zordur.
Uniswap tarafından yürütülenler gibi OpenBounty tarafından listelenen bazı hata ödül programları, hata raporlarının üçüncü bir taraf aracılığıyla değil, doğrudan Uniswap'e gönderilmesi gerektiğini söylüyor.
CertiK bağlantısı
OpenBounty'deki durum, kripto denetçisi CertiK ile bağlantılı en son tartışmadır.
Haziran ayında CertiK, kripto borsası Kraken'den neredeyse 3 milyon doları çekmek için bir hata kullanması nedeniyle çok eleştirildi.
CertiK daha sonra fonları iade etse de zincir içi kayıtlar, CertiK bağlantılı bir adresin fonların bir kısmını onaylanmış DeFi protokolü Tornado Cash'e gönderdiğini gösteriyor.
Bir CertiK sözcüsü, DL News'e OpenBounty platformunu kontrol eden kuruluş olan Shentu'nun eskiden CertiK'in bir parçası olduğunu doğruladı.
Ancak 2020'den beri Shentu, bağımsız bir varlık olarak özerk bir şekilde faaliyet göstermektedir.
Yine de, bölünmeden dört yıl sonra, OpenBounty platformundaki kod hâlâ adında CertiK bulunan alan adlarına bağlantı veriyor.
CertiK sözcüsü, bu tür alan adlarının Shentu tarafından bağımsız olarak yönetildiğini söyledi.
Tim Craig, DL News'te DeFi Muhabiridir. Bir ipucu var mı? Kendisine tim@dlnews.com adresinden e-posta gönderin.
