Odaily星球日報訊漏洞賞金平台OpenBounty 遭到同行安全研究人員的批評,因為有用戶發現他們提交的漏洞報告被發佈在一個公鏈上。當OpenBounty 收到報告時,它會自動將這些報告的內容作為交易發佈在Shentu 上,這是由OpenBounty 母公司Shentu Foundation 運行的區塊鏈。 被公開的細節包括漏洞的威脅等級、潛在易受攻擊代碼的位置以及報告作者的評論。獨立安全研究人員Pascal Caversaccio 表示,公開洩漏潛在的漏洞是極度不負責任的,任何駭客都可以篩選這些報告並利用它們。 OpenBounty 列出了30 多個加密項目提供的漏洞賞金計劃,總存款價值超過110 億美元。 安全研究人員還抱怨說,OpenBounty 在未經其他安全公司和加密專案許可的情況下列出並接受他們提供的漏洞賞金報告。 OpenBounty 網站上列出的賞金中,包括來自去中心化交易所Uniswap 和借貸協議Compound 的賞金。 加密安全公司OpenZeppelin 解決方案架構主管Michael Lewellen 表示:「身為Compound DAO 在OpenZeppelin 的安全顧問,我可以權威地說,他們並未獲得授權代表該協議管理漏洞賞金。」漏洞賞金平台HackenProof 執行長Dmytro Matviiv 表示:「未經許可列出賞金可能會產生法律後果。漏洞賞金市場是在一個經過深思熟慮的法律流程下運作的。在這個體系下,在將賞金放在漏洞賞金平台上之前,必須獲得賞金發布者的許可。不過,在拆分四年後,OpenBounty 平台上的程式碼仍然連結到名稱中包含CertiK 的網域。不過,CertiK 的發言人表示,這些網域是由Shentu 獨立管理的。 (DL News)
dark