Пов’язану з CertiK платформу розкритикували за публічне розміщення звітів про вразливості
- Аналітики піддали критиці платформу OpenBounty і назвали її діяльність «шалено безвідповідальною».
- Пов’язаний із компанією CertiK майданчик розміщує у відкритому доступі звіти про помилки, виявлені в різних проєктах.
- OpenBounty публікує дані про рівень загрози, місцеперебування вразливого коду і докладні коментарі автора звіту.
Експерти з кібербезпеки розкритикували децентралізовану платформу з пошуку багів і вразливостей OpenBounty. Аналітики виявили, що пов’язаний із компанією CertiK майданчик викладає у відкритий доступ дані про виявлені в проєктах помилки.
Першим на роботу OpenBounty звернув увагу незалежний експерт Паскаль Каверсаччо. Він опублікував пост із різкою критикою платформи, заявивши, що розробники «зливають у мережу» конфіденційні дані та створюють серйозну загрозу безпеці проєктів.
Аналітик зазначив, що OpenBounty за допомогою транзакцій на блокчейні Shentu публікує інформацію про різні вразливості. Будь-хто може отримати дані про рівень виявленої загрози, місцеперебування проблемного коду і прочитати коментарі автора звіту.
«Публічний витік потенційних багів — це шалена безвідповідальність. Будь-який зловмисник може переглянути звіти та використовувати їх для хакерської атаки», — заявив Каверсаччо.
Експерти стверджують, що подібна інформація має критичну важливість для розробників. У разі виявлення вразливостей платформа повинна зв’язатися з проєктом і обговорити варіанти співпраці для усунення проблеми, вважають вони.
Представники криптоком’юніті також вказали на ще одну особливість OpenBounty. Компанія без дозволу публікує інформацію про проєкти, які отримали винагороди за виявлені баги та помилки. Наприклад, на сайті OpenBounty є звіти про нагороди, що стосуються біржі Uniswap і протоколу Compound.
«Як радник із безпеки OpenZeppelin для Compound DAO, я можу з упевненістю сказати, що вони не уповноважені надавати ці дані від імені протоколу», — наголосив глава відділу архітектури рішень у компанії OpenZeppelin Майкл Левеллен.
Представники платформи HackenProof зазначили, що публікація такої інформації може мати юридичні наслідки для OpenBounty. Для цього вони повинні мати дозволи від компаній, які зачіпають їхні дії, заявили експерти.
На тлі новин про діяльність OpenBounty порція критики була адресована фірмі CertiK. Паскаль Каверсаччо, зокрема, назвав її «збіговиськом злочинців» і закликав до публічного бойкоту компанії.
Представники CertiK підтвердили, що організація, яка контролює платформу, раніше була частиною їхнього бізнесу. Однак із 2020 року Shentu та OpenBounty працюють незалежно, підкреслили в компанії. Водночас аналітики вказують на той факт, що платформа, як і раніше, посилається на домени CertiK.
Нагадаємо, раніше експерти CertiK виявили вразливість на криптовалютній платформі Kraken і вивели з неї активи на $3 млн. Біржа звинуватила компанію в крадіжці та шантажі.
