漏洞賞金平台OpenBounty公開發布漏洞報告,研究人員稱其“極度不負責任”

PANews 7月3日消息,根據DL News報道,漏洞賞金平台OpenBounty遭到同行安全研究人員的批評,因為有用戶發現他們提交的漏洞報告被發佈在了一個公開的區塊鏈上。當OpenBounty收到報告時,它會自動將這些報告的內容作為交易發佈在Shentu上,這是一個由OpenBounty的母公司Shentu Foundation運行的區塊鏈。被公開的細節包括漏洞的威脅等級、潛在易受攻擊代碼的位置以及報告作者的評論。 OpenBounty列出了30多個不同的加密項目提供的漏洞賞金,總存款價值超過110億美元。

獨立安全研究人員Pascal Caversaccio表示,公開洩漏潛在的漏洞是極度不負責任的,任何駭客都可以篩選這些報告並利用它們。安全研究人員還抱怨說,OpenBounty列出並接受了其他安全公司和加密項目提供的漏洞賞金報告,而這些公司和專案並未授權。在OpenBounty網站上列出的賞金中,包括來自頂級去中心化交易所Uniswap和借貸協議Compound的賞金。加密安全公司OpenZeppelin的解決方案架構主管Michael Lewellen表示:「身為Compound DAO在OpenZeppelin的安全顧問,我可以權威地說,他們並未獲得授權代表該協議管理漏洞賞金。」漏洞賞金平台HackenProof的首席執行長Dmytro Matviiv表示:「未經許可就列出賞金可能會產生法律後果。漏洞賞金市場是在一個經過深思熟慮的法律流程下運作的。在這個體系下,將賞金放在漏洞賞在金平台上之前,必須獲得賞金發布者的許可。

CertiK的發言人證實,控制OpenBounty平台的實體Shentu曾經是CertiK的一部分,然而,自2020年以來,Shentu就一直作為一個獨立的實體自主運作。不過,在分裂四年後,OpenBounty平台上的程式碼仍然連結到名稱中包含CertiK的網域。不過,CertiK的發言人表示,這些網域是由Shentu獨立管理的。

Total
0
Shares
Related Posts