Los expertos en ciberseguridad han criticado la plataforma descentralizada OpenBounty por buscar errores y vulnerabilidades. Los analistas descubrieron que una plataforma asociada a la empresa CertiK pone a disposición del público datos sobre errores identificados en los proyectos.
El experto independiente Pascal Caversaccio fue el primero en llamar la atención sobre el trabajo de OpenBounty. Publicó una publicación criticando duramente la plataforma, diciendo que los desarrolladores estaban "filtrando" datos confidenciales en línea y representando una seria amenaza para la seguridad de los proyectos.
El analista señaló que OpenBounty publica información sobre diversas vulnerabilidades a través de transacciones en la cadena de bloques Shentu. Cualquiera puede obtener datos sobre el nivel de la amenaza identificada, la ubicación del código problemático y leer los comentarios del autor del informe.
“La filtración pública de posibles errores es increíblemente irresponsable. Cualquier atacante puede ver los informes y utilizarlos para un ataque de piratas informáticos”, dijo Caversaccio.
Los expertos dicen que dicha información es fundamental para los desarrolladores. Si se descubren vulnerabilidades, la plataforma debería ponerse en contacto con el proyecto y discutir opciones de cooperación para solucionar el problema, afirman.
Los representantes de la comunidad criptográfica también señalaron otra característica de OpenBounty. La empresa, sin permiso, publica información sobre proyectos que han recibido recompensas por fallos y errores identificados. Por ejemplo, el sitio web OpenBounty tiene informes de recompensas relacionados con el intercambio Uniswap y el protocolo Compound.
"Como asesor de seguridad de OpenZeppelin para Compound DAO, puedo decir con confianza que no están autorizados a proporcionar estos datos en nombre del protocolo", dijo Michael Lewellen, jefe de arquitectura de soluciones de OpenZeppelin.
Los representantes de la plataforma HackenProof señalaron que la publicación de dicha información puede tener consecuencias legales para OpenBounty. Para ello, deben contar con el permiso de las empresas que afectan sus actividades, dijeron los expertos.
En medio de las noticias sobre las actividades de OpenBounty, algunas críticas se dirigieron a la empresa CertiK. Pascal Caversaccio, en particular, los calificó de “un grupo de delincuentes” y pidió un boicot público a la empresa.
Los representantes de CertiK confirmaron que la organización que controla la plataforma anteriormente formaba parte de su negocio. Sin embargo, desde 2020, Shentu y OpenBounty operan de forma independiente, enfatizó la compañía. Al mismo tiempo, los analistas señalan que la plataforma todavía vincula a los dominios de CertiK.
Recordemos que anteriormente los expertos de CertiK descubrieron una vulnerabilidad en la plataforma de criptomonedas Kraken y retiraron de ella activos por valor de 3 millones de dólares. La bolsa acusó a la empresa de robo y chantaje.
