PANews, 3 Temmuz'da DL News'e göre güvenlik açığı ödül platformu OpenBounty'nin güvenlik araştırmacıları tarafından eleştirildiğini, çünkü bazı kullanıcıların gönderdikleri güvenlik açığı raporlarının halka açık bir blockchain üzerinde yayınlandığını keşfettiğini bildirdi. OpenBounty raporları aldığında, bu raporların içeriğini otomatik olarak OpenBounty'nin ana şirketi Shentu Vakfı tarafından işletilen bir blockchain olan Shentu üzerinde işlemler olarak yayınlar. Açıklanan ayrıntılar arasında güvenlik açığının tehdit düzeyi, güvenlik açığı bulunan kodun konumu ve raporun yazarının yorumları yer alıyor. OpenBounty, toplam depozito değeri 11 milyar doları aşan 30'dan fazla farklı kripto projesi tarafından sunulan hata ödüllerini listeliyor.

Bağımsız güvenlik araştırmacısı Pascal Caversaccio, potansiyel güvenlik açıklarının kamuya açık olarak sızdırılmasının son derece sorumsuz olduğunu ve herhangi bir bilgisayar korsanının bu raporları inceleyerek bunlardan yararlanabileceğini söyledi. Güvenlik araştırmacıları ayrıca OpenBounty'nin yetki vermediği diğer güvenlik şirketlerinden ve kriptografik projelerden gelen hata ödül raporlarını listelediğinden ve kabul ettiğinden şikayetçi oldu. OpenBounty web sitesinde listelenen ödüller arasında üst düzey merkezi olmayan borsa Uniswap ve borç verme protokolü Compound'dan gelenler yer alıyor. Kriptografik güvenlik şirketi OpenZeppelin'in çözüm mimarisi direktörü ve hata ödül platformu HackenProof'un CEO'su Michael Lewellen, "Bileşik DAO'nun OpenZeppelin'deki güvenlik danışmanı olarak, protokol adına hata ödüllerini yönetmeye yetkili olmadıklarını söyleyebilirim" dedi. CEO Dmytro Matviiv şunları söyledi: "Ödüllerin izinsiz listelenmesinin yasal sonuçları olabilir. Bu sistem altında, bir hata ödülüne ödül koymak zordur. altın platforma yerleştirilmeden önce ödül yayıncısından alındı.”

Bir CertiK sözcüsü, OpenBounty platformunu kontrol eden kuruluş olan Shentu'nun bir zamanlar CertiK'in bir parçası olduğunu ancak Shentu'nun 2020'den beri ayrı bir kuruluş olarak özerk bir şekilde faaliyet gösterdiğini doğruladı. Yine de, bölünmeden dört yıl sonra, OpenBounty platformundaki kod, adlarında CertiK bulunan alan adlarına bağlanmaya devam ediyor. Ancak CertiK sözcüsü, bu alan adlarının bağımsız olarak Shentu tarafından yönetildiğini söyledi.