漏洞赏金平台 OpenBounty 公开发布漏洞报告,研究人员称其“不负责任”
ChainCatcher 消息,据 DL News 报道,漏洞赏金平台 OpenBounty 遭到同行安全研究人员的批评,因为有用户发现他们提交的漏洞报告被发布在了一个公开的区块链上。当 OpenBounty 收到报告时,它会自动将这些报告的内容作为交易发布在 Shentu上,这是一个由 OpenBounty 的母公司 Shentu Foundation 运行的区块链。被公开的细节包括漏洞的威胁级别、潜在易受攻击代码的位置以及报告作者的评论。OpenBounty 列出了 30 多个不同的加密项目提供的漏洞赏金,总存款价值超过 110 亿美元。
独立安全研究人员 Pascal Caversaccio 表示,公开泄露潜在的漏洞是极其不负责任的,任何黑客都可以筛选这些报告并利用它们。安全研究人员还抱怨说,OpenBounty 列出并接受了其他安全公司和加密项目提供的漏洞赏金报告,而这些公司和项目并未授权。在 OpenBounty 网站上列出的赏金中,包括来自顶级去中心化交易所 Uniswap 和借贷协议 Compound 的赏金。
加密安全公司 OpenZeppelin 的解决方案架构主管 Michael Lewellen 表示:“作为 Compound DAO 在 OpenZeppelin 的安全顾问,我可以权威地说,他们并未获得授权代表该协议管理漏洞赏金。”
漏洞赏金平台 HackenProof 的首席执行官 Dmytro Matviiv 表示:“未经许可就列出赏金可能会产生法律后果。漏洞赏金市场是在一个经过深思熟虑的法律流程下运作的。在这个体系下,在将赏金放在漏洞赏金平台上之前,必须获得赏金发布者的许可。”
CertiK 的一位发言人证实,控制 OpenBounty 平台的实体 Shentu 曾经是 CertiK 的一部分,然而,自 2020 年以来,Shentu 就一直作为一个独立的实体自主运营。不过,在分裂四年后,OpenBounty 平台上的代码仍然链接到名称中包含 CertiK 的域名。不过,CertiK 的发言人表示,这些域名是由 Shentu 独立管理的。