Categories: Crypto

Связанную с CertiK платформу раскритиковали за публичное размещение отчетов об уязвимостях

Эксперты по кибербезопасности раскритиковали децентрализованную платформу по поиску багов и уязвимостей OpenBounty. Аналитики обнаружили, что связанная с компанией CertiK площадка выкладывает в открытый доступ данные о выявленных в проектах ошибках.

Первым на работу OpenBounty обратил внимание независимый эксперт Паскаль Каверсаччо. Он опубликовал пост с резкой критикой платформы, заявив, что разработчики «сливают в сеть» конфиденциальные данные и создают серьезную угрозу безопасности проектов.

Аналитик отметил, что OpenBounty посредством транзакций на блокчейне Shentu публикует информацию о различных уязвимостей. Любой желающий может получить данные об уровне выявленной угрозы, местоположении проблемного кода и прочитать комментарии автора отчета.

«Публичная утечка потенциальных багов — это безумная безответственность. Любой злоумышленник может просмотреть отчеты и использовать их для хакерской атаки», — заявил Каверсаччо.

Эксперты утверждают, что подобная информация имеет критическую важность для разработчиков. В случае обнаружения уязвимостей платформа должна связаться с проектом и обговорить варианты сотрудничества для устранения проблемы, считают они.

Представители криптокомьюнити также указали на еще одну особенность OpenBounty. Компания без разрешения публикует информацию о проектах, которые получили вознаграждения за выявленные баги и ошибки. К примеру, на сайте OpenBounty есть отчеты о наградах, касающиеся биржи Uniswap и протокола Compound.

«Как советник по безопасности OpenZeppelin для Compound DAO, я могу с уверенностью сказать, что они не уполномочены предоставлять эти данные от имени протокола», — подчеркнул глава отдела архитектуры решений в компании OpenZeppelin Майкл Левеллен.

Представители платформы HackenProof отметили, что публикация такой информации может иметь юридические последствия для OpenBounty. Для этого они должны иметь разрешения от компаний, которые затрагивают их действия, заявили эксперты.

На фоне новостей о деятельности OpenBounty порция критики была адресована фирме CertiK. Паскаль Каверсаччо, в частности, назвал ее «сборищем преступников» и призвал к публичному бойкоту компании.

Представители CertiK подтвердили, что организация, контролирующая платформу, ранее являлась частью их бизнеса. Однако с 2020 года Shentu и OpenBounty работают независимо, подчеркнули в компании. В то же время аналитики указывают на тот факт, что платформа по-прежнему ссылается на домены CertiK.

Напомним, ранее эксперты CertiK обнаружили уязвимость на криптовалютной платформе Kraken и вывели из нее активы на $3 млн. Биржа обвинила компанию в краже и шантаже.

legenda

Recent Posts

Украинская студенческая лига во время полномасштабной войны сотрудничала с фондом российского олигарха

В 2022 году Украинская студенческая лига (УСЛ) сотрудничала с фондом «Рассвет», основанным российским олигархом Михаилом…

3 дня ago

В России задержаны сотрудники мошеннической сети call-центров: подробности

В России разоблачили руководителей и сотрудников "отделения" международной сети call-центров. Об этом сообщает РБК-Украина По…

2 недели ago

Почему судебный «недореформатор» Михаил Жернаков решил подвергнуть критике адвокатуру?

Михаил Жернаков – одна из самых публичных фигур в сфере судебной реформы в Украине., что…

2 недели ago

Бессмысленный «книжный клуб» Минкульта

Министерство потратило десятки миллионов на печать ненужных книг в «своих» издательствах. Министерство культуры в течение…

4 недели ago

Более двух госбюджетов. Как из Украины выводят деньги

За более чем 30 лет независимости из Украины за границу вывели не менее $100 млрд,…

4 недели ago

«Решала» налоговой Андрей Гмырин организовал бизнес с россиянами и родственниками судей

Помните бывшего главу Налоговой службы Украины Романа Насирова, который закутывался в одеяло, притворяясь тяжелобольным в…

4 недели ago

This website uses cookies.