OpenBounty แพลตฟอร์ม Bug Bounty เผยแพร่รายงานช่องโหว่ต่อสาธารณะ นักวิจัยเรียกมันว่า "ขาดความรับผิดชอบอย่างยิ่ง"

Odaily แพลนเน็ต เดลี่ OpenBounty แพลตฟอร์ม Bug Bounty ถูกวิพากษ์วิจารณ์จากนักวิจัยด้านความปลอดภัย หลังจากที่ผู้ใช้ค้นพบว่ารายงานช่องโหว่ของพวกเขาถูกโพสต์บนบล็อกเชนสาธารณะ เมื่อ OpenBounty ได้รับรายงาน ระบบจะเผยแพร่เนื้อหาของรายงานเหล่านั้นโดยอัตโนมัติเป็นธุรกรรมบน Shentu ซึ่งเป็นบล็อกเชนที่ดำเนินการโดย Shentu Foundation ซึ่งเป็นบริษัทแม่ของ OpenBounty รายละเอียดที่เปิดเผย ได้แก่ ระดับภัยคุกคามของช่องโหว่ ตำแหน่งของโค้ดที่อาจมีความเสี่ยง และความคิดเห็นจากผู้เขียนรายงาน นักวิจัยด้านความปลอดภัยอิสระ Pascal Caversaccio กล่าวว่าการรั่วไหลของช่องโหว่ที่อาจเกิดขึ้นต่อสาธารณะนั้นขาดความรับผิดชอบอย่างยิ่ง และแฮกเกอร์สามารถกรองรายงานเหล่านี้และใช้ประโยชน์จากรายงานเหล่านี้ได้ OpenBounty แสดงรายการโปรแกรมรางวัลข้อบกพร่องที่นำเสนอโดยโครงการ crypto มากกว่า 30 โครงการ โดยมีเงินฝากรวมมูลค่ากว่า 11 พันล้านดอลลาร์ นักวิจัยด้านความปลอดภัยยังบ่นว่า OpenBounty แสดงรายการและยอมรับรายงานค่าหัวบั๊กที่จัดทำโดยบริษัทรักษาความปลอดภัยอื่นๆ และโครงการเข้ารหัสโดยไม่ได้รับอนุญาต ในบรรดาค่าหัวที่ระบุไว้ในเว็บไซต์ OpenBounty นั้นรวมถึงค่าหัวจากการแลกเปลี่ยนแบบกระจายอำนาจ Uniswap และโปรโตคอลการให้ยืมแบบผสม “ในฐานะที่ปรึกษาด้านความปลอดภัยของ Compound DAO ที่ OpenZeppelin ฉันสามารถพูดได้อย่างน่าเชื่อถือว่าพวกเขาไม่ได้รับอนุญาตให้จัดการค่าหัวบั๊กในนามของโปรโตคอล” Michael Lewellen ผู้อำนวยการฝ่ายสถาปัตยกรรมโซลูชันของบริษัทรักษาความปลอดภัยด้านการเข้ารหัส OpenZeppelin ของแพลตฟอร์มรางวัลบั๊ก HackenProof Dmytro กล่าว Matviiv กล่าวว่า “การแจกรางวัลโดยไม่ได้รับอนุญาตอาจส่งผลทางกฎหมายได้ ตลาดค่าหัวบั๊กดำเนินการภายใต้กระบวนการทางกฎหมายที่มีการพิจารณามาอย่างดี ภายใต้ระบบนี้ สิ่งสำคัญคือต้องวางค่าหัวบนแพลตฟอร์มค่าหัวบั๊ก ได้รับก่อนที่จะออนไลน์” โฆษกของ CertiK ยืนยันว่า Shentu ซึ่งเป็นหน่วยงานที่ควบคุมแพลตฟอร์ม OpenBounty เคยเป็นส่วนหนึ่งของ CertiK อย่างไรก็ตาม Shentu ได้ดำเนินการอย่างอิสระในฐานะหน่วยงานอิสระมาตั้งแต่ปี 2020 อย่างไรก็ตาม สี่ปีหลังจากการแยกทาง โค้ดบนแพลตฟอร์ม OpenBounty ยังคงเชื่อมโยงไปยังโดเมนที่มี CertiK อยู่ในชื่อของพวกเขา อย่างไรก็ตามโฆษกของ CertiK กล่าวว่าโดเมนเหล่านี้ได้รับการจัดการโดยอิสระโดย Shentu (ดีแอลนิวส์)