Eksperci od cyberbezpieczeństwa skrytykowali zdecentralizowaną platformę za wyszukiwanie błędów i luk w zabezpieczeniach OpenBounty. Analitycy odkryli, że platforma powiązana z firmą CertiK udostępnia publicznie dane o błędach wykrytych w projektach.
Niezależny ekspert Pascal Caversaccio jako pierwszy zwrócił uwagę na pracę OpenBounty. Opublikował post ostro krytykujący platformę, stwierdzając, że programiści „wyciekają” poufne dane do sieci i stanowią poważne zagrożenie dla bezpieczeństwa projektów.
Analityk zauważył, że OpenBounty publikuje informacje o różnych podatnościach poprzez transakcje na blockchainie Shentu. Każdy może uzyskać dane na temat poziomu zidentyfikowanego zagrożenia, lokalizacji problematycznego kodu, a także zapoznać się z komentarzami autora raportu.
„Publiczne ujawnianie potencjalnych błędów jest szalenie nieodpowiedzialne. Każdy atakujący może przeglądać raporty i wykorzystywać je do ataku hakerskiego” – powiedział Caversaccio.
Eksperci twierdzą, że takie informacje są kluczowe dla programistów. W przypadku wykrycia luk platforma powinna skontaktować się z projektem i omówić możliwości współpracy w celu rozwiązania problemu – twierdzą.
Przedstawiciele społeczności kryptowalut zwrócili także uwagę na inną cechę OpenBounty. Firma bez pozwolenia publikuje informacje o projektach, które otrzymały nagrody za zidentyfikowane błędy i błędy. Na przykład strona OpenBounty zawiera raporty o nagrodach związane z giełdą Uniswap i protokołem Compound.
„Jako doradca OpenZeppelin ds. bezpieczeństwa w Compound DAO mogę z całą pewnością stwierdzić, że firma nie jest upoważniona do udostępniania tych danych w imieniu protokołu” – powiedział Michael Lewellen, szef architektury rozwiązań w OpenZeppelin.
Przedstawiciele platformy HackenProof zwrócili uwagę, że publikacja takich informacji może wiązać się z konsekwencjami prawnymi dla OpenBounty. Eksperci twierdzą, że aby to zrobić, muszą uzyskać pozwolenie od firm, które mają wpływ na ich działalność.
Na tle doniesień o działalności OpenBounty część krytyki została skierowana pod adresem firmy CertiK. W szczególności Pascal Caversaccio nazwał ją „bandą przestępców” i wezwał do publicznego bojkotu firmy.
Przedstawiciele CertiK potwierdzili, że organizacja kontrolująca platformę była wcześniej częścią ich działalności. Jednak od 2020 roku Shentu i OpenBounty działają niezależnie – podkreśliła firma. Jednocześnie analitycy zwracają uwagę na fakt, że platforma w dalszym ciągu łączy się z domenami CertiK.
Przypomnijmy, że wcześniej eksperci CertiK odkryli lukę w platformie kryptowalutowej Kraken i wyciągnęli z niej aktywa o wartości 3 milionów dolarów. Giełda oskarżyła firmę o kradzież i szantaż.
