Gli esperti di sicurezza informatica hanno criticato la piattaforma decentralizzata per la ricerca di bug e vulnerabilità OpenBounty. Gli analisti hanno scoperto che una piattaforma associata alla società CertiK rende pubblici i dati sugli errori identificati nei progetti.
L’esperto indipendente Pascal Caversaccio è stato il primo ad attirare l’attenzione sul lavoro di OpenBounty. Ha pubblicato un post in cui criticava aspramente la piattaforma, affermando che gli sviluppatori stavano "divulgando" dati riservati online e rappresentavano una seria minaccia per la sicurezza dei progetti.
L'analista ha osservato che OpenBounty pubblica informazioni su varie vulnerabilità attraverso transazioni sulla blockchain di Shentu. Chiunque può ottenere dati sul livello della minaccia identificata, sulla posizione del codice problematico e leggere i commenti dell’autore del rapporto.
“La divulgazione pubblica di potenziali bug è follemente irresponsabile. Qualsiasi utente malintenzionato può visualizzare i rapporti e utilizzarli per un attacco hacker", ha affermato Caversaccio.
Gli esperti affermano che tali informazioni sono fondamentali per gli sviluppatori. Se vengono scoperte delle vulnerabilità, la piattaforma dovrebbe contattare il progetto e discutere le opzioni di cooperazione per risolvere il problema, dicono.
I rappresentanti della comunità crittografica hanno sottolineato anche un'altra caratteristica di OpenBounty. L'azienda, senza autorizzazione, pubblica informazioni sui progetti che hanno ricevuto premi per bug ed errori identificati. Ad esempio, il sito Web OpenBounty contiene rapporti sui premi relativi allo scambio Uniswap e al protocollo Compound.
"In qualità di consulente per la sicurezza di OpenZeppelin per Compound DAO, posso affermare con certezza che non sono autorizzati a fornire questi dati per conto del protocollo", ha affermato Michael Lewellen, responsabile dell'architettura della soluzione presso OpenZeppelin.
I rappresentanti della piattaforma HackenProof hanno osservato che la pubblicazione di tali informazioni potrebbe avere conseguenze legali per OpenBounty. Per fare questo, devono avere il permesso delle aziende che influenzano le loro attività, hanno detto gli esperti.
Alla luce delle notizie sulle attività di OpenBounty, una parte delle critiche è stata rivolta alla società CertiK. Pascal Caversaccio, in particolare, lo definì “un branco di criminali” e invocò il boicottaggio pubblico dell'azienda.
I rappresentanti di CertiK hanno confermato che l'organizzazione che controlla la piattaforma faceva precedentemente parte della loro attività. Tuttavia, dal 2020, Shentu e OpenBounty operano in modo indipendente, ha sottolineato la società. Allo stesso tempo, gli analisti sottolineano il fatto che la piattaforma è ancora collegata ai domini CertiK.
Ricordiamo che in precedenza gli esperti di CertiK hanno scoperto una vulnerabilità nella piattaforma di criptovaluta Kraken e hanno ritirato da essa beni per un valore di 3 milioni di dollari. L'exchange ha accusato la società di furto e ricatto.
