漏洞賞金平台 OpenBounty 公開發布漏洞報告,研究人員稱其“不負責任”
ChainCatcher 消息,据 DL News 報導,漏洞賞金平台 OpenBounty 遭到同行安全研究人員的批評,因為有用戶發現他們提交的漏洞報告被發布在了一個公開的區塊鏈上。當 OpenBounty 收到報告時,它會自動將這些報告的內容作為交易發布在 Shentu 上,這是一個由 OpenBounty 的母公司 Shentu Foundation 運營的區塊鏈。被公開的細節包括漏洞的威脅級別、潛在易受攻擊代碼的位置以及報告作者的評論。OpenBounty 列出了 30 多個不同的加密項目提供的漏洞賞金,總存款價值超過 110 億美元。獨立安全研究人員 Pascal Caversaccio 表示,公開泄露潛在的漏洞是極其不負責任的,任何黑客都可以篩選這些報告並利用它們。安全研究人員還抱怨說,OpenBounty 列出並接受了其他安全公司和加密項目提供的漏洞賞金報告,而這些公司和項目並未授權。在 OpenBounty 網站上列出的賞金中,包括來自頂級去中心化交易所 Uniswap 和借貸協議 Compound 的賞金。加密安全公司 OpenZeppelin 的解決方案架構主管 Michael Lewellen 表示:"作為 Compound DAO 在 OpenZeppelin 的安全顧問,我可以權威地說,他們並未獲得授權代表該協議管理漏洞賞金。"漏洞賞金平台 HackenProof 的首席執行官 Dmytro Matviiv 表示:"未經許可就列出賞金可能會產生法律後果。漏洞賞金市場是在一個經過深思熟慮的法律流程下運作的。在這個體系下,在將賞金放在漏洞賞金平台上之前,必須獲得賞金發布者的許可。"CertiK 的一位發言人證實,控制 OpenBounty 平台的實體 Shentu 曾經是 CertiK 的一部分,然而,自 2020 年以來,Shentu 就一直作為一個獨立的實體自主運營。不過,在分裂四年後,OpenBounty 平台上的代碼仍然鏈接到名稱中包含 CertiK 的域名。不過,CertiK 的發言人表示,這些域名是由 Shentu 獨立管理的。