취약점 보상 플랫폼 OpenBounty가 취약점 보고서를 공개했으며, 연구원들은 이를 "무책임하다"고 주장했다

ChainCatcher 메시지에 따르면, DL News는 취약점 보상 플랫폼 OpenBounty가 동료 보안 연구자들로부터 비판을 받고 있다고 보도했습니다. 사용자가 제출한 취약점 보고서가 공개 블록체인에 게시되었기 때문입니다. OpenBounty는 보고서를 받을 때, 이 보고서의 내용을 거래로 자동 게시하는데, 이는 OpenBounty의 모회사인 Shentu Foundation이 운영하는 블록체인인 Shentu에서 이루어집니다. 공개된 세부사항에는 취약점의 위협 수준, 잠재적으로 취약한 코드의 위치 및 보고서 작성자의 댓글이 포함됩니다. OpenBounty는 30개 이상의 다양한 암호화 프로젝트에서 제공하는 취약점 보상을 나열했으며, 총 예치금 가치는 110억 달러를 초과합니다.

독립 보안 연구원인 Pascal Caversaccio는 잠재적인 취약점을 공개적으로 유출하는 것은 극히 무책임하다고 말하며, 어떤 해커든 이러한 보고서를 필터링하고 이를 악용할 수 있다고 경고했습니다. 보안 연구원들은 또한 OpenBounty가 다른 보안 회사와 암호화 프로젝트에서 제공한 취약점 보상 보고서를 나열하고 수락했지만, 이들 회사와 프로젝트는 이를 승인하지 않았다고 불만을 제기했습니다. OpenBounty 웹사이트에 나열된 보상에는 최고 탈중앙화 거래소인 Uniswap과 대출 프로토콜인 Compound에서 제공한 보상이 포함되어 있습니다.

암호 보안 회사 OpenZeppelin의 솔루션 아키텍처 책임자인 Michael Lewellen은 "Compound DAO의 OpenZeppelin 보안 고문으로서, 그들이 해당 프로토콜을 대표하여 취약점 보상을 관리할 권한을 부여받지 않았다는 것을 권위 있게 말할 수 있습니다."라고 밝혔습니다.

취약점 보상 플랫폼 HackenProof의 CEO인 Dmytro Matviiv는 "허가 없이 보상을 나열하는 것은 법적 결과를 초래할 수 있습니다. 취약점 보상 시장은 깊이 있는 법적 절차에 따라 운영됩니다. 이 시스템 하에서는 보상을 취약점 보상 플랫폼에 게시하기 전에 보상 발행자의 허가를 받아야 합니다."라고 말했습니다.

CertiK의 한 대변인은 OpenBounty 플랫폼을 제어하는 실체인 Shentu가 한때 CertiK의 일부였다고 확인했으나, 2020년 이후로 Shentu는 독립적인 실체로 운영되고 있다고 전했습니다. 그러나 분리된 지 4년이 지난 지금도 OpenBounty 플랫폼의 코드는 여전히 CertiK라는 이름이 포함된 도메인에 연결되어 있습니다. 하지만 CertiK의 대변인은 이러한 도메인이 Shentu에 의해 독립적으로 관리되고 있다고 밝혔습니다.