PANews 7月3日消息,據DL News報道,漏洞賞金平臺OpenBounty遭到同行安全研究人員的批評,因爲有用戶發現他們提交的漏洞報告被髮布在了一個公開的區塊鏈上。當OpenBounty收到報告時,它會自動將這些報告的內容作爲交易發佈在Shentu上,這是一個由OpenBounty的母公司Shentu Foundation運行的區塊鏈。被公開的細節包括漏洞的威脅級別、潛在易受攻擊代碼的位置以及報告作者的評論。OpenBounty列出了30多個不同的加密項目提供的漏洞賞金,總存款價值超過110億美元。

獨立安全研究人員Pascal Caversaccio表示,公開泄露潛在的漏洞是極其不負責任的,任何黑客都可以篩選這些報告並利用它們。安全研究人員還抱怨說,OpenBounty列出並接受了其他安全公司和加密項目提供的漏洞賞金報告,而這些公司和項目並未授權。在OpenBounty網站上列出的賞金中,包括來自頂級去中心化交易所Uniswap和借貸協議Compound的賞金。加密安全公司OpenZeppelin的解決方案架構主管Michael Lewellen表示:“作爲Compound DAO在OpenZeppelin的安全顧問,我可以權威地說,他們並未獲得授權代表該協議管理漏洞賞金。”漏洞賞金平臺HackenProof的首席執行官Dmytro Matviiv表示:“未經許可就列出賞金可能會產生法律後果。漏洞賞金市場是在一個經過深思熟慮的法律流程下運作的。在這個體系下,在將賞金放在漏洞賞金平臺上之前,必須獲得賞金髮布者的許可。”

CertiK的一位發言人證實,控制OpenBounty平臺的實體Shentu曾經是CertiK的一部分,然而,自2020年以來,Shentu就一直作爲一個獨立的實體自主運營。不過,在分裂四年後,OpenBounty平臺上的代碼仍然鏈接到名稱中包含CertiK的域名。不過,CertiK的發言人表示,這些域名是由Shentu獨立管理的。