Accusations portées contre OpenBounty
CertiK, l’auditeur de contrats intelligents, est au centre d’une nouvelle controverse pour avoir prétendument cherché à devancer les rapports de bug bounty. Le 25 juin, Pop Punk, cofondateur de Gaslite, a accusé OpenBounty, une plateforme de bug incubée par Shentu, la chaîne CertiK rebaptisée, d’avoir devancé les rapports de bug bounty et d’avoir violé les conditions de service entourant leurs rapports.
OpenBounty est une plateforme permettant d’agréger des primes aux bugs et de faciliter le signalement des vulnérabilités du code web3. Cependant, les critiques estiment que la plateforme sert principalement de véhicule pour les rapports de primes d’avant-garde afin de réclamer toutes les récompenses offertes. Elle semble diriger les rapports de bug bounty . Il s’agit d’une violation directe des conditions de nombreux grands protocoles de bug bounty. Ce qui est encore plus suspect, c’est que leur site Web envoie des requêtes à un domaine dont le nom contient CertiK lorsque vous signalez un bug bounty.
Réactions et conséquences
Les soupçons concernant OpenBounty ont d’abord été soulevés par le chercheur en sécurité h0wlu. Il a créé un compte de test sur leur plateforme pour vérifier, pensant qu’il s’agissait peut-être d’un simple agrégateur. Mais non, ils ont des formulaires de soumission pour tous ces programmes et les résultats sont envoyés à leurs serveurs API.
Les allégations d’OpenBounty se multiplient après que CertiK s’est retrouvé sous le feu des critiques pour avoir exploité une vulnérabilité qu’il avait identifiée sur la bourse centralisée Kraken afin de détourner 3 millions de dollars de la plateforme la semaine dernière. Kraken a d’ailleurs accusé les chercheurs de CertiK d’avoir pris les fonds en otage dans le but de négocier un bug bounty. Il s’agissait ni plus ni moins d’une extorsion. D’autres chercheurs en sécurité se sont également élevés contre CertiK en réponse à la controverse, accusant l’entreprise de réaliser des audits de sécurité paresseux. CertiK a affirmé qu’elle n’avait fait qu’effectuer des recherches sur l’étendue de l’exploit avant de le signaler. Elle a remboursé les fonds après avoir essuyé des réactions négatives.
