Immunefi Tạm Dừng TrustSec Giữa Cuộc tranh cãi về Phần thưởng Bug Bounty

Immunefi đã tạm dừng Trust Security vì cáo buộc thao túng vấn đề, khơi dậy các cuộc thảo luận về sự công bằng trong các nền tảng phần thưởng bug bounty của Web3.

Cập nhật (14 Tháng 11, 8:00 sáng UTC): Bài viết này đã được cập nhật để bao gồm phản hồi từ một người phát ngôn của Immunefi giải thích về vấn đề với báo cáo lỗ hổng của Trust.

Nền tảng phần thưởng bug bounty Web3 Immunefi đã áp đặt lệnh tạm dừng 90 ngày đối với công ty bảo mật white hat Trust Security. Hành động này theo sau cáo buộc của Trust Security rằng Immunefi đã không công bằng khi từ chối thanh toán phần thưởng bug bounty cho việc phát hiện ra một lỗ hổng quan trọng có khả năng dẫn đến việc đánh cắp tiền.

Vào ngày 12 tháng 11, Trust Security đã tiết lộ trên mạng xã hội rằng đội ngũ phần thưởng của họ đã xác định được một lỗ hổng quan trọng trong một mainnet được phân nhánh của một dự án không tên.

Bằng chứng khái niệm về lỗ hổng này đã được gửi đến Immunefi, nơi đóng vai trò là trung gian giữa các hacker white hat và các dự án để đảm bảo thanh toán phần thưởng cho việc phát hiện bug đáng tin cậy.

Lỗ hổng quan trọng bị bác bỏ là “Ngoài phạm vi”

Tuy nhiên, dự án đã lập luận rằng lỗ hổng được Trust Security phát hiện là ngoài phạm vi, điều này sẽ loại bỏ các white hat khỏi việc nhận bất kỳ phần thưởng nào.

Trust cho rằng Immunefi đã ủng hộ lập luận "vô lý" của dự án và chỉ đưa ra một phần thưởng thiện chí nhỏ thay vì phần thưởng đầy đủ cho việc xác định các lỗ hổng quan trọng.

Immunefi Đe Dọa Cấm Vĩnh Viễn TrustSec

Immunefi đã bác bỏ các cáo buộc của Trust về việc thanh toán không công bằng và áp đặt lệnh tạm dừng 90 ngày vì "miêu tả sai lệch vấn đề đang xét." Nền tảng này cũng đe dọa sẽ cấm vĩnh viễn Trust nếu hành vi này được lặp lại.

Một người phát ngôn của Immunefi đã làm rõ rằng Trust không vi phạm các hướng dẫn Công bố Có Trách Nhiệm và tuyên bố:

"Lý do cho việc tạm dừng là sự miêu tả sai lệch không đạo đức, không trung thực về vấn đề và làm mất uy tín của chúng tôi, điều mà chúng tôi tin rằng vượt xa sự chỉ trích. Chỉ trích là ổn, điều này thì không."

Immunefi kiên định ủng hộ dự án:

"Trong trường hợp này, chúng tôi đồng ý với dự án vì vấn đề hoàn toàn ngoài phạm vi theo các quy tắc tiêu chuẩn của chúng tôi. Dự án đã rất hào phóng khi đưa ra phần thưởng."

Trust đã từ chối phần thưởng thiện chí, trích dẫn rằng việc chấp nhận nó sẽ ngăn cản họ công bố chi tiết mà không có sự chấp thuận, và tuyên bố, "Chúng tôi thà phơi bày trò lừa đảo và cảnh báo các hacker hơn là có thêm vài ngàn đô la trong túi."

Immunefi tiếp tục giải thích quan điểm của họ về phát hiện của Trust:

"Để thực hiện điều này, một kẻ tấn công sẽ cần phải đợi sự chấp thuận vô hạn xảy ra để thực hiện cuộc tấn công hoặc yêu cầu truy cập vật lý vào khóa riêng của người dùng. Tại thời điểm đó, mọi thứ đều có thể xảy ra."

Trust kêu gọi sự minh bạch và cởi mở hơn:

"Chúng tôi công khai vì hành vi mờ ám, cực kỳ bí mật mà chúng tôi đang thấy từ các dự án và một số nền tảng phần thưởng đi ngược lại trực tiếp với tinh thần Web3 và cộng đồng white hat."

Một số thành viên trong cộng đồng tiền điện tử trên mạng xã hội đã đặt câu hỏi về quyết định của Immunefi khi cấm Trust thay vì tham gia vào một cuộc đối thoại mang tính xây dựng.

Vào tháng 10, một nhà nghiên cứu bảo mật đã được trao phần thưởng 150.000 đô la cho việc xác định một lỗ hổng quan trọng trong blockchain Evmos bằng cách đọc tài liệu của Cosmos Network.

Theo nhà nghiên cứu bảo mật giấu tên Spearbit jayjonah.eth, lỗ hổng quan trọng này có thể đã dừng blockchain Evmos và tất cả các ứng dụng phi tập trung được xây dựng trên đó.

Theo Cointelegraph

Tin khác