在发现用户提交的漏洞报告发布在公共区块链上后,漏洞赏金平台 OpenBounty 受到了其他安全研究人员的猛烈批评。
当 OpenBounty 收到报告时,它会自动将其内容发布在由 OpenBounty 母组织申图基金会运营的区块链申图上的交易中。
公开的详细信息包括漏洞的威胁级别、潜在漏洞代码的位置以及报告作者的评论。
最先发现该问题的独立安全研究员 Pascal Caversaccio 告诉 DL News:“公开泄露潜在漏洞是极其不负责任的行为。任何黑客都可以筛选报告并加以利用。”
黑帽是指利用漏洞进行恶意目的的骇客,包括窃取金钱、密码或资料。
OpenBounty 列出了 30 多个不同加密货币项目提供的错误赏金,总存款价值超过 110 亿美元。
OpenBounty 没有回应 DL News 的置评请求。
错误赏金是加密项目向成功识别项目代码中的错误的人提供的奖励。
错误赏金很重要,因为它们会激励开发人员寻找开源程式码中的错误,并阻止发现错误的人利用这些错误来获取金钱利益。
许多加密货币项目向发现最严重错误的人提供超过 100 万美元的奖金。
捎带错误赏金
安全研究人员也抱怨 OpenBounty 列出并接受其他安全公司和加密项目在未经他们许可的情况下提供的错误赏金报告。
OpenBounty 网站上列出了来自顶级去中心化交易所 Uniswap 和借贷协议 Compound 的赏金。
加密安全公司 OpenZeppelin 解决方案架构主管 Michael Lewellen 告诉 DL News:“作为 OpenZeppelin 的Compound DAO 安全顾问,我可以权威地说,他们无权代表该协议管理漏洞赏金。”
漏洞赏金平台 HackenProof 的执行长 Dmytro Matviiv 告诉 DL News,未经许可列出赏金可能会产生法律后果。
马特维夫表示,漏洞赏金市场是在经过深思熟虑的法律程序内运作的。他说,在这个系统下,在将赏金放到错误赏金平台之前,必须获得赏金发行者的许可。
OpenBounty 扮演发现错误的人和提供赏金的专案之间的中间人。因此,很难确定它是否将收到的所有错误报告传递给了适当的各方,并完全归功于发现这些报告的人。
OpenBounty 列出的一些错误赏金计划(例如 Uniswap 运行的计划)表示,错误报告必须直接提交给 Uniswap,而不是透过第三方。
CertiK 连接
OpenBounty 的情况是与加密审计机构 CertiK 有关的最新争议。
6 月,CertiK 在利用漏洞从加密货币交易所 Kraken 提取近 300 万美元后受到严厉批评。
尽管 CertiK 后来归还了资金,但链上记录显示,与 CertiK 相关的地址将部分资金发送到了受认可的 DeFi 协议 Tornado Cash。
CertiK发言人向DL News证实,控制OpenBounty平台的实体申图曾经是CertiK的一部分。
然而,自2020年以来,申图是作为独立实体自主运作。
尽管如此,分裂四年后,OpenBounty 平台中的程式码仍然连结到名称中带有 CertiK 的网域。
CertiK 发言人表示,此类网域由申图独立管理。
Tim Craig 是 DL News 的 DeFi 记者。有小费吗?给他发电子邮件:tim@dlnews.com。
