버그 바운티 플랫폼 OpenBounty, 취약점 보고서 공개 발표

Odaily 스타 데일리 뉴스 버그 포상금 플랫폼인 OpenBounty는 사용자들이 자신의 취약성 보고서가 공개 블록체인에 게시된 사실을 발견한 후 동료 보안 연구원들로부터 비난을 받았습니다. OpenBounty는 보고서를 받으면 해당 보고서의 내용을 OpenBounty의 모회사인 Shentu Foundation에서 운영하는 블록체인인 Shentu의 거래로 자동 게시합니다. 공개된 세부 정보에는 취약점의 위협 수준, 잠재적으로 취약한 코드의 위치, 보고서 작성자의 의견이 포함됩니다. 독립적인 보안 연구원인 Pascal Caversaccio는 잠재적인 취약점을 공개적으로 유출하는 것은 매우 무책임하며 모든 해커가 이러한 보고서를 샅샅이 뒤져 악용할 수 있다고 말했습니다. OpenBounty에는 30개 이상의 암호화폐 프로젝트에서 제공하는 버그 포상금 프로그램이 나열되어 있으며 총 예치금은 110억 달러 이상입니다. 보안 연구원들은 또한 OpenBounty가 다른 보안 회사 및 암호화 프로젝트에서 제공한 버그 바운티 보고서를 허가 없이 나열하고 수락한다고 불평했습니다. OpenBounty 웹사이트에 나열된 포상금 중에는 분산형 거래소 Uniswap과 대출 프로토콜 컴파운드의 포상금이 있습니다. 암호화 보안 회사인 OpenZeppelin의 솔루션 아키텍처 이사인 Michael Lewellen은 버그 바운티 플랫폼 HackenProof Dmytro의 CEO로서 "OpenZeppelin의 컴파운드 DAO 보안 컨설턴트로서 나는 프로토콜을 대신하여 버그 바운티를 관리할 권한이 없다고 자신있게 말할 수 있습니다."라고 말했습니다. Matviiv는 “허가 없이 현상금을 나열하는 것은 법적 결과를 초래할 수 있습니다. 버그 현상금 시장은 신중한 법적 절차에 따라 운영됩니다. 이 시스템에서는 현상금 게시자의 허가를 받아야 합니다. CertiK 대변인은 OpenBounty 플랫폼을 제어하는 법인인 Shentu가 한때 CertiK의 일부였으나 2020년부터 독립적인 법인으로 자율적으로 운영되고 있음을 확인했습니다. 그러나 분할 후 4년이 지났지만 OpenBounty 플랫폼의 코드는 여전히 이름에 CertiK가 포함된 도메인에 연결되어 있습니다. 그러나 CertiK 대변인은 이러한 도메인이 Shentu에 의해 독립적으로 관리된다고 말했습니다. (DL 뉴스)