据吴说报道,独立安全研究员Pascal Caversaccio发现,漏洞赏金平台OpenBounty在接收到报告后,会自动将内容以交易的形式发布在其母组织Shentu基金会运营的区块链Shentu上。公开的信息包括漏洞的威胁等级、潜在漏洞代码的位置以及报告作者的评论,这些信息可能被黑客筛选并利用。
OpenBounty还在未经许可的情况下,列出并接受其他安全公司和加密项目提供的漏洞赏金报告。CertiK的一位发言人向DL News证实,控制OpenBounty平台的实体Shentu曾经是CertiK的一部分,尽管自2020年以后,Shentu作为一个独立实体自主运营,但OpenBounty平台中的代码仍然链接到带有CertiK名称的域名。
