- Immunefi pozastavila Trust Security za nesprávnou charakteristiku kritické zprávy o chybě.
- Trust Security objevila chybu při krádeži finančních prostředků, ale byla zamítnuta výplata celé odměny.
- TrustSec odmítl nabídku dobré vůle Immunefi s odkazem na obavy o transparentnost ve Web3.
Immunefi, přední platforma Web3 bug bounty, uvalila 90denní pozastavení činnosti společnosti Trust Security, bezpečnostní firmě s bílým kloboukem, po sporu o kritickou zprávu o chybě.
Pozastavení následuje po kontroverzi, která se točí kolem tvrzení Trust Security o nespravedlivém odmítnutí odměny za chyby za identifikaci zranitelnosti, která by mohla vést ke krádeži finančních prostředků.
Spor o odměnu za chyby
12. listopadu se Trust Security obrátila na X (dříve Twitter), aby odhalila, že její bounty tým objevil vážnou zranitelnost v rozvětvené hlavní síti neidentifikovaného projektu.
Recently the bounty team at TrustSec found another critical leading to live unauthenticated theft of funds. Due to what we consider malicious behavior of the project and especially of @immunefi , not only did the project get away without paying the bounty, but due to a dirty…
— Trust (@trust__90) November 12, 2024
Chyba, popisovaná jako problém s krádeží finančních prostředků, byla nahlášena společnosti Immunefi, která usnadňuje zprostředkování hlášení o chybách a výplaty odměn mezi white-hat hackery a projekty.
Dotyčný projekt však tvrdil, že zjištěná zranitelnost je mimo rozsah a není způsobilá pro výplatu odměny. Immunefi se postavila na stranu projektu a zranitelnost odmítla jako mimo rozsah podle svých zavedených pravidel.
Společnost Immunefi nabídla TrustSec „odměnu za dobrou vůli“ namísto plné odměny, ale TrustSec ji odmítl s argumentem, že přijetí nabídky by jim zabránilo zveřejnit podrobnosti o chybě bez schválení projektu.
TrustSec dále kritizoval Immunefi za to, že se postavil na stranu „nesmyslného argumentu“ projektu a za to, co vnímal jako pokus potlačit transparentnost v ekosystému Web3 .
Immunefi zase obvinila Trust ze špatného charakterizace situace a suspendovala firmu na 90 dní. Platforma pohrozila trvalým zákazem, pokud TrustSec bude problém nadále zkreslovat.
Immunefi hájila svůj postoj a uvedla, že záležitost je skutečně mimo rozsah jejích pravidel a že projekt byl velkorysý a nabídl vůbec nějakou odměnu.
Our response to Trust’s tweet:
– We want to be crystal clear: manipulative approaches like this that mischaracterize the issues at hand are unethical and unacceptable. We will be issuing a 90-day suspension. A third and final infraction would result in a permanent ban.
— Immunefi (@immunefi) November 12, 2024
Trust Security však zdůraznila důležitost otevřenosti a transparentnosti v rámci komunity Web3 a obvinila jak základní projekt, tak Immunefi z přijetí příliš tajných praktik, které jsou v rozporu s principy white-hat komunita.
Spor vyvolal debatu mezi členy komunity, někteří zpochybňují rozhodnutí Immunefi uvalit pozastavení spíše než se zapojit do konstruktivního dialogu.