Nền tảng tiền thưởng lỗi OpenBounty đang bị các nhà nghiên cứu bảo mật đồng nghiệp chỉ trích sau khi người ta phát hiện ra rằng các báo cáo lỗi do người dùng gửi được đăng trên một blockchain công khai.
Khi OpenBounty nhận được báo cáo, nó sẽ tự động đăng nội dung của chúng trong các giao dịch trên Shentu, một blockchain được điều hành bởi tổ chức mẹ của OpenBounty, Shentu Foundation.
Các chi tiết được công khai bao gồm mức độ đe dọa của lỗi, vị trí của mã có khả năng bị tấn công và nhận xét từ tác giả báo cáo.
Pascal Caversaccio, một nhà nghiên cứu bảo mật độc lập, người đầu tiên xác định vấn đề, nói với DL News: “Việc rò rỉ các lỗi tiềm ẩn một cách công khai là cực kỳ vô trách nhiệm”. “Bất kỳ mũ đen nào cũng có thể sàng lọc các báo cáo để khai thác chúng.”
Blackhat đề cập đến những tin tặc khai thác lỗi cho mục đích xấu, bao gồm trộm tiền, mật khẩu hoặc dữ liệu.
OpenBounty liệt kê các khoản tiền thưởng phát hiện lỗi được cung cấp bởi hơn 30 dự án tiền điện tử khác nhau với tổng giá trị tiền gửi hơn 11 tỷ USD.
OpenBounty đã không trả lời yêu cầu bình luận của DL News.
Tiền thưởng lỗi là phần thưởng do các dự án tiền điện tử cung cấp cho những người xác định thành công lỗi trong mã của dự án.
Tiền thưởng lỗi rất quan trọng vì chúng khuyến khích các nhà phát triển tìm kiếm lỗi trong mã nguồn mở và ngăn cản những người tìm thấy lỗi khai thác chúng để kiếm tiền.
Nhiều dự án tiền điện tử cung cấp số tiền thưởng lên tới hơn 1 triệu USD cho những người xác định được các lỗi nghiêm trọng nhất.
Tiền thưởng lỗi cõng
Các nhà nghiên cứu bảo mật cũng phàn nàn rằng OpenBounty liệt kê và chấp nhận các báo cáo về tiền thưởng lỗi do các công ty bảo mật và dự án tiền điện tử khác cung cấp mà không có sự cho phép của họ.
Tiền thưởng từ sàn giao dịch phi tập trung hàng đầu Uniswap và giao thức cho vay Hợp chất nằm trong số những khoản tiền thưởng được liệt kê trên trang web OpenBounty.
Michael Lewellen, người đứng đầu kiến trúc giải pháp tại công ty bảo mật tiền điện tử OpenZeppelin, nói với DL News: “Với tư cách là cố vấn bảo mật của OpenZeppelin cho Hợp chất DAO, tôi có thể nói một cách có thẩm quyền rằng họ không được phép quản lý tiền thưởng lỗi thay mặt cho giao thức”.
Dmytro Matviiv, Giám đốc điều hành của nền tảng tiền thưởng lỗi HackenProof, nói với DL News rằng việc niêm yết tiền thưởng mà không được phép có thể gây ra hậu quả pháp lý.
Matviiv cho biết thị trường tiền thưởng phát hiện lỗi hoạt động theo một quy trình pháp lý được cân nhắc kỹ lưỡng. Ông cho biết, theo hệ thống này, bắt buộc phải có sự cho phép của nhà phát hành tiền thưởng trước khi đặt tiền thưởng của họ trên nền tảng tiền thưởng lỗi.
OpenBounty đóng vai trò trung gian giữa những người tìm ra lỗi và các dự án đưa ra tiền thưởng. Vì vậy, thật khó để biết chắc chắn liệu nó có chuyển tất cả các báo cáo lỗi mà nó nhận được cho các bên thích hợp hay không và ghi công đầy đủ cho những người đã tìm thấy chúng.
Một số chương trình thưởng lỗi được OpenBounty liệt kê, chẳng hạn như chương trình do Uniswap điều hành, nói rằng báo cáo lỗi phải được gửi trực tiếp đến Uniswap chứ không phải thông qua bên thứ ba.
Kết nối CertiK
Tình huống tại OpenBounty là tranh cãi mới nhất liên quan đến công ty kiểm toán tiền điện tử CertiK.
Vào tháng 6, CertiK đã bị chỉ trích nặng nề sau khi sử dụng lỗi để rút gần 3 triệu USD từ sàn giao dịch tiền điện tử Kraken.
Mặc dù CertiK sau đó đã trả lại tiền nhưng hồ sơ onchain cho thấy một địa chỉ được liên kết với CertiK đã gửi một số tiền tới giao thức DeFi Tornado Cash bị xử phạt.
Người phát ngôn của CertiK đã xác nhận với DL News rằng Shentu, đơn vị kiểm soát nền tảng OpenBounty, từng là một phần của CertiK.
Tuy nhiên, kể từ năm 2020, Shentu đã hoạt động tự chủ như một thực thể độc lập.
Tuy nhiên, bốn năm sau khi chia tách, mã trong nền tảng OpenBounty vẫn liên kết đến các miền có tên CertiK.
Người phát ngôn của CertiK cho biết những miền như vậy được quản lý độc lập bởi Shentu.
Tim Craig là Phóng viên DeFi tại DL News. Có một mẹo? Gửi email cho anh ấy theo địa chỉ tim@dlnews.com.
