智能合约审计师CertiK因涉嫌提前运行漏洞奖励报告而再次成为争议的焦点。
6月25日,天然气效率审计师Gaslite的联合创始人Pop Punk指控由申图(更名后的CertiK Chain)孵化的漏洞奖励平台OpenBounty提前运行漏洞奖励报告,并违反了漏洞奖励报告的服务条款。
OpenBounty表面上提供了一个平台,用于聚合漏洞奖励并帮助报告web3代码漏洞。然而,批评人士认为,该平台主要是作为前期赏金报告的载体,以索取任何奖励。
Pop Punk说:“OpenBounty……似乎领先于漏洞赏金报告。”。“这直接违反了许多大型协议的漏洞奖励条款……更可疑的是,当你报告奖励时,他们的网站会以CertiK的名义向域名发出请求。”
关于OpenBounty的怀疑首先是由安全研究员h0wlu提出的。
h0wlu说:“我在他们的平台上创建了一个测试帐户来查看它,心想这可能只是一个聚合器,但不是。”。“他们有所有这些程序的提交表格,调查结果被发送到他们的API服务器。”
Howlu发现OpenBounty的API由“bounty-prod.noopsbycertik.com”子域托管,这进一步表明CertiK与该平台有关。他们还指出,Uniswap的漏洞奖励政策规定,报告必须直接进行,而不是通过第三方进行。
Pop Punk补充道:“如果你发现了漏洞,请直接向协议报告。而不是一些与CertiK相关的可疑网站。”。“谁知道他们会不会这么做。”
上周,CertiK因利用其在Kraken集中交易所发现的漏洞从该平台上窃取300万美元而受到抨击,OpenBounty的指控愈演愈烈。
Kraken指责CertiK的研究人员将这些资金作为“人质”,以谈判漏洞赏金。“这不是白帽黑客,”Kraken的首席安全官Nick Percoco说。“这是敲诈。”
针对这一争议,安全研究人员也公开反对CertiK,指责该公司进行懒惰的安全审计。
CertiK声称,在报告之前,它只是对漏洞的程度进行了“研究”,并在面临强烈反对后退还了资金。
相关:Certik前客户质疑安全公司在协议审计方面的立场
