Nền tảng tiền thưởng lỗi OpenBounty công khai báo cáo về lỗ hổng, các nhà nghiên cứu gọi đó là "cực kỳ vô trách nhiệm"

Odaily Thông tin Planet Daily Nền tảng tiền thưởng lỗi OpenBounty đã bị các nhà nghiên cứu bảo mật đồng nghiệp chỉ trích sau khi người dùng phát hiện ra rằng các báo cáo về lỗ hổng bảo mật của họ đã được đăng trên một blockchain công khai. Khi OpenBounty nhận được báo cáo, nó sẽ tự động xuất bản nội dung của các báo cáo đó dưới dạng giao dịch trên Shentu, chuỗi khối được điều hành bởi công ty mẹ của OpenBounty, Shentu Foundation. Các chi tiết được tiết lộ bao gồm mức độ đe dọa của lỗ hổng, vị trí của mã có khả năng bị tấn công và nhận xét từ tác giả báo cáo. Nhà nghiên cứu bảo mật độc lập Pascal Caversaccio cho biết việc rò rỉ công khai các lỗ hổng tiềm ẩn là cực kỳ vô trách nhiệm và bất kỳ hacker nào cũng có thể sàng lọc các báo cáo này và khai thác chúng. OpenBounty liệt kê các chương trình thưởng lỗi do hơn 30 dự án tiền điện tử cung cấp, với tổng số tiền gửi trị giá hơn 11 tỷ USD. Các nhà nghiên cứu bảo mật cũng phàn nàn rằng OpenBounty liệt kê và chấp nhận các báo cáo tiền thưởng lỗi do các công ty bảo mật và dự án mật mã khác cung cấp mà không có sự cho phép của họ. Trong số các khoản tiền thưởng được liệt kê trên trang web OpenBounty có tiền thưởng từ sàn giao dịch phi tập trung Uniswap và giao thức cho vay Hợp chất. Michael Lewellen, giám đốc kiến trúc giải pháp tại công ty bảo mật mật mã OpenZeppelin, Giám đốc điều hành của nền tảng tiền thưởng lỗi HackenProof Dmytro cho biết: “Với tư cách là nhà tư vấn bảo mật của Hợp chất DAO tại OpenZeppelin, tôi có thể chính thức nói rằng họ không được phép quản lý tiền thưởng lỗi thay mặt cho giao thức”. Matviiv cho biết: “Việc niêm yết tiền thưởng mà không được phép có thể gây ra hậu quả pháp lý. Thị trường tiền thưởng cho lỗi hoạt động theo một quy trình pháp lý được cân nhắc kỹ lưỡng. Theo hệ thống này, điều quan trọng là phải đặt tiền thưởng trên nền tảng tiền thưởng cho lỗi. thu được trước khi lên mạng.” Người phát ngôn của CertiK xác nhận rằng Shentu, đơn vị kiểm soát nền tảng OpenBounty, đã từng là một phần của CertiK, tuy nhiên, Shentu đã hoạt động tự chủ như một thực thể độc lập kể từ năm 2020. Tuy nhiên, bốn năm sau khi chia tách, mã trên nền tảng OpenBounty vẫn liên kết đến các tên miền có CertiK trong tên của chúng. Tuy nhiên, người phát ngôn của CertiK cho biết các miền này được Shentu quản lý độc lập. (Tin tức DL)