Експерти з кібербезпеки розкритикували децентралізовану платформу з пошуку багів та вразливостей OpenBounty. Аналітики виявили, що пов'язаний з компанією CertiK майданчик викладає у відкритий доступ дані про виявлені в проектах помилки.
Першим на роботу OpenBounty звернув увагу незалежний експерт Паскаль Каверсаччо. Він опублікував пост із різкою критикою платформи, заявивши, що розробники «зливають у мережу» конфіденційні дані та створюють серйозну загрозу безпеці проектів.
Аналітик зазначив, що OpenBounty за допомогою транзакцій на блокчейні Shentu публікує інформацію про різні уразливості. Будь-який бажаючий може отримати дані про рівень виявленої загрози, місцезнаходження проблемного коду та прочитати коментарі автора звіту.
«Публічний витік потенційних багів — це шалена безвідповідальність. Будь-який зловмисник може переглянути звіти та використати їх для хакерської атаки», - заявив Каверсаччо.
Експерти стверджують, що подібна інформація має критичну важливість для розробників. У разі виявлення вразливостей платформа має зв'язатися з проектом та обговорити варіанти співпраці для усунення проблеми, вважають вони.
Представники криптоком'юніті також зазначили ще одну особливість OpenBounty. Компанія без дозволу публікує інформацію про проекти, які отримали винагороди за виявлені баги та помилки. Наприклад, на сайті OpenBounty є звіти про нагороди щодо біржі Uniswap та протоколу Compound.
"Як радник з безпеки OpenZeppelin для Compound DAO, я можу з упевненістю сказати, що вони не уповноважені надавати ці дані від імені протоколу", - наголосив голова відділу архітектури рішень у компанії OpenZeppelin Майкл Левеллен.
Представники платформи HackenProof зауважили, що публікація такої інформації може мати юридичні наслідки для OpenBounty. Для цього вони повинні мати дозволи від компаній, які торкаються їхніх дій, заявили експерти.
На тлі новин про діяльність OpenBounty порція критики була адресована фірмі CertiK. Паскаль Каверсаччо зокрема назвав її «зборищем злочинців» і закликав до публічного бойкоту компанії.
Представники CertiK підтвердили, що організація, яка контролює платформу, раніше була частиною їхнього бізнесу. Проте з 2020 року Shentu та OpenBounty працюють незалежно, наголосили в компанії. У той же час аналітики вказують на той факт, що платформа, як і раніше, посилається на домени CertiK.
Нагадаємо, раніше експерти CertiK виявили вразливість на криптовалютній платформі Kraken і вивели з неї активи на $3 млн. Біржа звинуватила компанію в крадіжці та шантажі.
Міністерство юстиції США оприлюднило обвинувальний висновок, у якому громадянин Росії Олександр Вікторович Риженков (Олександр Вікторович…
Судові баталії навколо будівлі поряд із Майданом Незалежності тривали шість років Боротьба за цей «п'ятачок»…
Постачання вугілля – болісна тема для України. З 2014 року країна-окупант майже повністю відрізала українські…
Громадянин Росії Сергій Іванов - один із найвідоміших кіберзлочинців. Влада США розшукує його за…
У Великобританії Олуміді Осункойя визнав себе винним у скоєнні 5 злочинів, що стало першим…
Будинки з білими меблями для будівельників ХАЕС по 1,5 млн: як «Енергоатом» готується до «Великого…
Цей веб-сайт використовує cookies.