Эксперты по кибербезопасности раскритиковали децентрализованную платформу по поиску багов и уязвимостей OpenBounty. Аналитики обнаружили, что связанная с компанией CertiK площадка выкладывает в открытый доступ данные о выявленных в проектах ошибках.
Первым на работу OpenBounty обратил внимание независимый эксперт Паскаль Каверсаччо. Он опубликовал пост с резкой критикой платформы, заявив, что разработчики «сливают в сеть» конфиденциальные данные и создают серьезную угрозу безопасности проектов.
Аналитик отметил, что OpenBounty посредством транзакций на блокчейне Shentu публикует информацию о различных уязвимостей. Любой желающий может получить данные об уровне выявленной угрозы, местоположении проблемного кода и прочитать комментарии автора отчета.
«Публичная утечка потенциальных багов — это безумная безответственность. Любой злоумышленник может просмотреть отчеты и использовать их для хакерской атаки», — заявил Каверсаччо.
Эксперты утверждают, что подобная информация имеет критическую важность для разработчиков. В случае обнаружения уязвимостей платформа должна связаться с проектом и обговорить варианты сотрудничества для устранения проблемы, считают они.
Представители криптокомьюнити также указали на еще одну особенность OpenBounty. Компания без разрешения публикует информацию о проектах, которые получили вознаграждения за выявленные баги и ошибки. К примеру, на сайте OpenBounty есть отчеты о наградах, касающиеся биржи Uniswap и протокола Compound.
«Как советник по безопасности OpenZeppelin для Compound DAO, я могу с уверенностью сказать, что они не уполномочены предоставлять эти данные от имени протокола», — подчеркнул глава отдела архитектуры решений в компании OpenZeppelin Майкл Левеллен.
Представители платформы HackenProof отметили, что публикация такой информации может иметь юридические последствия для OpenBounty. Для этого они должны иметь разрешения от компаний, которые затрагивают их действия, заявили эксперты.
На фоне новостей о деятельности OpenBounty порция критики была адресована фирме CertiK. Паскаль Каверсаччо, в частности, назвал ее «сборищем преступников» и призвал к публичному бойкоту компании.
Представители CertiK подтвердили, что организация, контролирующая платформу, ранее являлась частью их бизнеса. Однако с 2020 года Shentu и OpenBounty работают независимо, подчеркнули в компании. В то же время аналитики указывают на тот факт, что платформа по-прежнему ссылается на домены CertiK.
Напомним, ранее эксперты CertiK обнаружили уязвимость на криптовалютной платформе Kraken и вывели из нее активы на $3 млн. Биржа обвинила компанию в краже и шантаже.
В России разоблачили руководителей и сотрудников "отделения" международной сети call-центров. Об этом сообщает РБК-Украина По…
Михаил Жернаков – одна из самых публичных фигур в сфере судебной реформы в Украине., что…
Министерство потратило десятки миллионов на печать ненужных книг в «своих» издательствах. Министерство культуры в течение…
За более чем 30 лет независимости из Украины за границу вывели не менее $100 млрд,…
Помните бывшего главу Налоговой службы Украины Романа Насирова, который закутывался в одеяло, притворяясь тяжелобольным в…
Известный рейдер Василий Астион сознательно уничтожает известное аграрное предприятие ООО "Комплекс Агромарс" в интересах владельца…
This website uses cookies.