CertiK被指控通过子公司反弹前运行漏洞

智能合约审计师CertiK因涉嫌提前运行漏洞奖励报告而再次成为争议的焦点。

6月25日，天然气效率审计师Gaslite的联合创始人Pop Punk指控由申图（更名后的CertiK Chain）孵化的漏洞奖励平台OpenBounty提前运行漏洞奖励报告，并违反了漏洞奖励报告的服务条款。

OpenBounty表面上提供了一个平台，用于聚合漏洞奖励并帮助报告web3代码漏洞。然而，批评人士认为，该平台主要是作为前期赏金报告的载体，以索取任何奖励。

Pop Punk说：“OpenBounty……似乎领先于漏洞赏金报告。”。“这直接违反了许多大型协议的漏洞奖励条款……更可疑的是，当你报告奖励时，他们的网站会以CertiK的名义向域名发出请求。”

关于OpenBounty的怀疑首先是由安全研究员h0wlu提出的。

h0wlu说：“我在他们的平台上创建了一个测试帐户来查看它，心想这可能只是一个聚合器，但不是。”。“他们有所有这些程序的提交表格，调查结果被发送到他们的API服务器。”

Howlu发现OpenBounty的API由“bounty-prod.noopsbycertik.com”子域托管，这进一步表明CertiK与该平台有关。他们还指出，Uniswap的漏洞奖励政策规定，报告必须直接进行，而不是通过第三方进行。

Pop Punk补充道：“如果你发现了漏洞，请直接向协议报告。而不是一些与CertiK相关的可疑网站。”。“谁知道他们会不会这么做。”

所有人都在关注CertiK

上周，CertiK因利用其在Kraken集中交易所发现的漏洞从该平台上窃取300万美元而受到抨击，OpenBounty的指控愈演愈烈。

Kraken指责CertiK的研究人员将这些资金作为“人质”，以谈判漏洞赏金。“这不是白帽黑客，”Kraken的首席安全官Nick Percoco说。“这是敲诈。”

针对这一争议，安全研究人员也公开反对CertiK，指责该公司进行懒惰的安全审计。

CertiK声称，在报告之前，它只是对漏洞的程度进行了“研究”，并在面临强烈反对后退还了资金。

相关：Certik前客户质疑安全公司在协议审计方面的立场