漏洞賞金平臺OpenBounty公開發佈漏洞報告，研究人員稱其“極其不負責任”

Odaily星球日報訊 漏洞賞金平臺 OpenBounty 遭到同行安全研究人員的批評，因為有用戶發現他們提交的漏洞報告被發佈在一個公鏈上。當 OpenBounty 收到報告時，它會自動將這些報告的內容作為交易發佈在 Shentu 上，這是由 OpenBounty 母公司 Shentu Foundation 運行的區塊鏈。被公開的細節包括漏洞的威脅級別、潛在易受攻擊代碼的位置以及報告作者的評論。獨立安全研究人員 Pascal Caversaccio 表示，公開泄露潛在的漏洞是極其不負責任的，任何黑客都可以篩選這些報告並利用它們。OpenBounty 列出瞭 30 多個加密項目提供的漏洞賞金計劃，總存款價值超過 110 億美元。安全研究人員還抱怨說，OpenBounty 在未經其他安全公司和加密項目許可的情況下列出並接受由他們提供的漏洞賞金報告。OpenBounty 網站上列出的賞金中，包括來自去中心化交易所 Uniswap 和借貸協議 Compound 的賞金。加密安全公司 OpenZeppelin 解決方案架構主管 Michael Lewellen 表示：“作為 Compound DAO 在 OpenZeppelin 的安全顧問，我可以權威地說，他們並未獲得授權代表該協議管理漏洞賞金。”漏洞賞金平臺 HackenProof 首席執行官 Dmytro Matviiv 表示：“未經許可就列出賞金可能會產生法律後果。漏洞賞金市場是在一個經過深思熟慮的法律流程下運作的。在這個體系下，在將賞金放在漏洞賞金平臺上之前，必須獲得賞金發佈者的許可。”CertiK 一位發言人證實，控制 OpenBounty 平臺的實體 Shentu 曾經是 CertiK 的一部分，然而，自 2023 年以來，Shentu 就一直作為一個獨立的實體自主運營。不過，在拆分四年後，OpenBounty 平臺上的代碼仍然鏈接到名稱中包含 CertiK 的域名。不過，CertiK 的發言人表示，這些域名是由 Shentu 獨立管理的。（DL News）