バグ報奨金プラットフォームOpenBountyが脆弱性レポートを公表、研究者らは「極めて無責任」と批判

Odaily スタージャーナルによると バグ報奨金プラットフォームの OpenBounty は、脆弱性レポートがパブリック ブロックチェーンに投稿されたことをユーザーが発見したことを受けて、セキュリティ研究者仲間から批判を受けています。 OpenBounty がレポートを受信すると、そのレポートの内容が OpenBounty の親会社である Shentu Foundation が運営するブロックチェーンである Shentu 上のトランザクションとして自動的に公開されます。 開示される詳細には、脆弱性の脅威レベル、潜在的に脆弱なコードの場所、レポート作成者からのコメントが含まれます。独立系セキュリティ研究者のパスカル・カベルサッチョ氏は、潜在的な脆弱性を公に漏らすのは極めて無責任であり、ハッカーなら誰でもこうした報告書を精査して悪用できる可能性があると述べた。 OpenBounty には、30 以上の暗号プロジェクトが提供するバグ報奨金プログラムがリストされており、その総額は 110 億ドル以上に相当します。 セキュリティ研究者らはまた、OpenBountyが他のセキュリティ会社や暗号化プロジェクトから提供されたバグ報奨金レポートを許可なくリスト化し、受け入れていると不満を述べた。 OpenBounty Web サイトにリストされている報奨金の中には、分散型取引所 Uniswap および融資プロトコル Compound からの報奨金が含まれています。 暗号セキュリティ会社 OpenZeppelin のソリューション アーキテクチャ ディレクターである Michael Lewellen 氏は、「OpenZeppelin の Compound DAO のセキュリティ コンサルタントとして、彼らにはプロトコルに代わってバグ報奨金を管理する権限がないと権威を持って言えます。バグ報奨金プラットフォーム HackenProof の CEO です。」と述べています。 Dmytro Matviiv 氏は次のように述べています。「許可なく報奨金を掲載すると、法的影響が生じる可能性があります。このシステムでは、報奨金プラットフォームに報奨金を設定することが重要です。 CertiKの広報担当者は、OpenBountyプラットフォームを管理する事業体であるShentuがかつてはCertiKの一部であったが、2020年以降は独立した事業体として自律的に運営されていると認めた。しかし、分割から 4 年が経過した今でも、OpenBounty プラットフォーム上のコードは、名前に CertiK が含まれるドメインにリンクしています。ただし、CertiKの広報担当者は、これらのドメインはShentuによって独立して管理されていると述べた。 (DLニュース)