Платформа вознаграждения за обнаружение ошибок Web3 Immunefi приостановила работу на 90 дней в отношении компании по обеспечению безопасности Trust Security. Решение было принято после того, как последняя обвинила Immunefi в несправедливом отказе в выплате вознаграждения за обнаружение критической ошибки, которая потенциально могла привести к краже средств.
12 ноября Trust Security сообщила на X, что ее команда по вознаграждению обнаружила критическую уязвимость кражи средств в ответвленной основной сети неназванного проекта.
Подтверждение концепции уязвимости было предоставлено Immunefi, которая выступает в качестве посредника между белыми хакерами и проектами, чтобы гарантировать выплату вознаграждений за достоверные идентификации ошибок.
Критическая ошибка отклонена как находящаяся «вне области действия» отчета
Однако проект заявил, что Trust Security обнаружила ошибку вне области действия, которая фактически лишает белых хакеров возможности получать награды за поиск.
Источник: Trust.
По словам Trust, Immunefi ошибочно встала на сторону «бессмысленного аргумента» проекта и предложила «крошечное вознаграждение за добросовестность» вместо полной награды за обнаружение критических ошибок.
Immunefi угрожает TrustSec постоянным запретом
Immunefi опровергла заявления Trust о несправедливой выплате и выдала 90-дневную приостановку за «неправильное описание рассматриваемых проблем». Платформа вознаграждений за поиск ошибок также пригрозила Trust постоянным запретом, если он повторит нарушение.
Представитель Immunefi заявил, что Trust не нарушал руководящие принципы ответственной публикации и сказал:
«Причиной приостановки является неэтичное, недобросовестное искажение проблемы и очернение нашей порядочности, что, по нашему мнению, выходит далеко за рамки критики. Критика — это нормально, а это — нет».
Immunefi твердо поддержала проект:
«В этом случае мы согласились с проектом, потому что проблема абсолютно не соответствовала нашим стандартным правилам. Проект был щедр, предложив вознаграждение».
Однако Trust отклонил вознаграждение за добросовестность, поскольку его принятие по закону помешало бы им опубликовать подробности без одобрения, добавив:
«Мы предпочитаем разоблачить мошенничество и предупредить хакеров, чем иметь несколько дополнительных K в кармане».
Immunefi также сообщила, что не считает открытие Trust действительной уязвимостью, поскольку для этого потребовалось бы непреднамеренное действие пользователя, чтобы явно инициировать бесконечное одобрение смарт-контракта. Они объяснили далее:
«Чтобы выполнить это, злоумышленнику нужно будет либо дождаться такого бесконечного одобрения для выполнения атаки, либо потребовать физический доступ к закрытым ключам пользователя. В этот момент возможно все».
Кроме того, Trust призвал к большей прозрачности и открытости:
«Мы выходим на публику, потому что теневое, сверхсекретное поведение, которое мы видим в проектах и некоторых платформах вознаграждений, напрямую противоречит принципам Web3 и сообществу белых хакеров».
Некоторые члены криптосообщества на X подвергли сомнению решение Immunefi наложить запрет на Trust вместо того, чтобы вступить в конструктивный диалог.
В октябре EvmosBlockchainn выплатил вознаграждение в размере 150 000 долларов исследователю безопасности, который обнаружил критическую ошибку, просто внимательно прочитав документацию Cosmos Network.
Система выплат вознаграждений за ошибки Evmos. Источник: Evmos
По словам исследователя безопасности Spearbit под псевдонимом jayjonah.eth, критическая ошибка могла остановить блокчейн Evmos и все децентрализованные приложения, созданные на его основе.