Пов'язану з CertiK платформу розкритикували за публічне розміщення звітів про вразливість

Експерти з кібербезпеки розкритикували децентралізовану платформу з пошуку багів та вразливостей OpenBounty. Аналітики виявили, що пов'язаний з компанією CertiK майданчик викладає у відкритий доступ дані про виявлені в проектах помилки.

Першим на роботу OpenBounty звернув увагу незалежний експерт Паскаль Каверсаччо. Він опублікував пост із різкою критикою платформи, заявивши, що розробники «зливають у мережу» конфіденційні дані та створюють серйозну загрозу безпеці проектів.

Аналітик зазначив, що OpenBounty за допомогою транзакцій на блокчейні Shentu публікує інформацію про різні уразливості. Будь-який бажаючий може отримати дані про рівень виявленої загрози, місцезнаходження проблемного коду та прочитати коментарі автора звіту.

«Публічний витік потенційних багів — це шалена безвідповідальність. Будь-який зловмисник може переглянути звіти та використати їх для хакерської атаки», - заявив Каверсаччо.

Експерти стверджують, що подібна інформація має критичну важливість для розробників. У разі виявлення вразливостей платформа має зв'язатися з проектом та обговорити варіанти співпраці для усунення проблеми, вважають вони.

Представники криптоком'юніті також зазначили ще одну особливість OpenBounty. Компанія без дозволу публікує інформацію про проекти, які отримали винагороди за виявлені баги та помилки. Наприклад, на сайті OpenBounty є звіти про нагороди щодо біржі Uniswap та протоколу Compound.

"Як радник з безпеки OpenZeppelin для Compound DAO, я можу з упевненістю сказати, що вони не уповноважені надавати ці дані від імені протоколу", - наголосив голова відділу архітектури рішень у компанії OpenZeppelin Майкл Левеллен.

Представники платформи HackenProof зауважили, що публікація такої інформації може мати юридичні наслідки для OpenBounty. Для цього вони повинні мати дозволи від компаній, які торкаються їхніх дій, заявили експерти.

На тлі новин про діяльність OpenBounty порція критики була адресована фірмі CertiK. Паскаль Каверсаччо зокрема назвав її «зборищем злочинців» і закликав до публічного бойкоту компанії.

Представники CertiK підтвердили, що організація, яка контролює платформу, раніше була частиною їхнього бізнесу. Проте з 2020 року Shentu та OpenBounty працюють незалежно, наголосили в компанії. У той же час аналітики вказують на той факт, що платформа, як і раніше, посилається на домени CertiK.

Нагадаємо, раніше експерти CertiK виявили вразливість на криптовалютній платформі Kraken і вивели з неї активи на $3 млн. Біржа звинуватила компанію в крадіжці та шантажі.