Связанную с CertiK платформу раскритиковали за публичное размещение отчетов об уязвимостях
- Аналитики подвергли критике платформу OpenBounty и назвали ее деятельность «безумно безответственной».
- Связанная с компанией CertiK площадка размещает в открытом доступе отчеты об ошибках, обнаруженных в различных проектах.
- OpenBounty публикует данные об уровне угрозы, местонахождении уязвимого кода и подробные комментарии автора отчета.
Эксперты по кибербезопасности раскритиковали децентрализованную платформу по поиску багов и уязвимостей OpenBounty. Аналитики обнаружили, что связанная с компанией CertiK площадка выкладывает в открытый доступ данные о выявленных в проектах ошибках.
Another CertiK shitshow: Shentu OpenBounty, see below thread for context how they host a BBP w/o authorisation of projects, is literally leaking findings on-chain. This is insanely irresponsible and most probably even illegal! CertiK is a bunch of fucking criminals at this stage.… https://t.co/usiaiQRgsL pic.twitter.com/hHVbgTSgl3
— sudo rm -rf –no-preserve-root / (@pcaversaccio) June 27, 2024
Первым на работу OpenBounty обратил внимание независимый эксперт Паскаль Каверсаччо. Он опубликовал пост с резкой критикой платформы, заявив, что разработчики «сливают в сеть» конфиденциальные данные и создают серьезную угрозу безопасности проектов.
Аналитик отметил, что OpenBounty посредством транзакций на блокчейне Shentu публикует информацию о различных уязвимостей. Любой желающий может получить данные об уровне выявленной угрозы, местоположении проблемного кода и прочитать комментарии автора отчета.
«Публичная утечка потенциальных багов — это безумная безответственность. Любой злоумышленник может просмотреть отчеты и использовать их для хакерской атаки», — заявил Каверсаччо.
Эксперты утверждают, что подобная информация имеет критическую важность для разработчиков. В случае обнаружения уязвимостей платформа должна связаться с проектом и обговорить варианты сотрудничества для устранения проблемы, считают они.
Представители криптокомьюнити также указали на еще одну особенность OpenBounty. Компания без разрешения публикует информацию о проектах, которые получили вознаграждения за выявленные баги и ошибки. К примеру, на сайте OpenBounty есть отчеты о наградах, касающиеся биржи Uniswap и протокола Compound.
«Как советник по безопасности OpenZeppelin для Compound DAO, я могу с уверенностью сказать, что они не уполномочены предоставлять эти данные от имени протокола», — подчеркнул глава отдела архитектуры решений в компании OpenZeppelin Майкл Левеллен.
Представители платформы HackenProof отметили, что публикация такой информации может иметь юридические последствия для OpenBounty. Для этого они должны иметь разрешения от компаний, которые затрагивают их действия, заявили эксперты.
На фоне новостей о деятельности OpenBounty порция критики была адресована фирме CertiK. Паскаль Каверсаччо, в частности, назвал ее «сборищем преступников» и призвал к публичному бойкоту компании.
Представители CertiK подтвердили, что организация, контролирующая платформу, ранее являлась частью их бизнеса. Однако с 2020 года Shentu и OpenBounty работают независимо, подчеркнули в компании. В то же время аналитики указывают на тот факт, что платформа по-прежнему ссылается на домены CertiK.
Напомним, ранее эксперты CertiK обнаружили уязвимость на криптовалютной платформе Kraken и вывели из нее активы на $3 млн. Биржа обвинила компанию в краже и шантаже.