脆弱性報酬プラットフォーム OpenBounty が脆弱性報告を公開、研究者はこれを「無責任」と称する

ChainCatcher のメッセージによると、DL News の報道では、脆弱性報奨金プラットフォーム OpenBounty が同行のセキュリティ研究者から批判を受けています。なぜなら、ユーザーが提出した脆弱性報告が公開のブロックチェーン上に掲載されてしまったからです。OpenBounty が報告を受け取ると、それらの報告内容を自動的に取引として Shentu に公開します。Shentu は OpenBounty の親会社である Shentu Foundation が運営するブロックチェーンです。公開された詳細には、脆弱性の脅威レベル、潜在的に脆弱なコードの位置、報告者のコメントが含まれています。OpenBounty は 30 以上の異なる暗号プロジェクトが提供する脆弱性報奨金をリストアップしており、総預金額は 110 億ドルを超えています。

独立したセキュリティ研究者 Pascal Caversaccio は、潜在的な脆弱性を公開することは極めて無責任であり、どんなハッカーでもこれらの報告をフィルタリングして利用できると述べています。セキュリティ研究者たちは、OpenBounty が他のセキュリティ会社や暗号プロジェクトが提供する脆弱性報告をリストアップし、受け入れたことに対しても不満を抱いています。これらの会社やプロジェクトは、許可を得ていません。OpenBounty のウェブサイトに掲載されている報奨金には、トップの分散型取引所 Uniswap や貸付プロトコル Compound からの報奨金が含まれています。

暗号セキュリティ会社 OpenZeppelin のソリューションアーキテクチャ責任者 Michael Lewellen は、「Compound DAO の OpenZeppelin におけるセキュリティアドバイザーとして、彼らがそのプロトコルを代表して脆弱性報奨金を管理する権限を持っていないことを権威を持って言えます」と述べています。

脆弱性報奨金プラットフォーム HackenProof の CEO Dmytro Matviiv は、「許可なしに報奨金をリストアップすることは法的な結果をもたらす可能性があります。脆弱性報奨金市場は、慎重に考えられた法的プロセスの下で運営されています。このシステムの下では、報奨金を脆弱性報奨金プラットフォームに掲載する前に、報奨金の発行者の許可を得る必要があります」と述べています。

CertiK の広報担当者は、OpenBounty プラットフォームを管理する実体 Shentu はかつて CertiK の一部であったことを確認しましたが、2020 年以来、Shentu は独立した実体として運営されています。しかし、分裂から 4 年後も、OpenBounty プラットフォーム上のコードは CertiK を含む名前のドメインにリンクされています。ただし、CertiK の広報担当者は、これらのドメインは Shentu によって独立して管理されていると述べています。