Immunefi suspenderer Trust Security (TrustSec) på grund af bug-bounty-tvist

Immunefi suspenderer Trust Security (TrustSec) på grund af bug-bounty-tvist

By Charles Thuo - Min. læsning (kort)
Immunefi suspends Trust Security (TrustSec) amid bug bounty dispute
  • Immunefi har suspenderet Trust Security for forkert karakterisering af en kritisk fejlrapport.
  • Trust Security opdagede en fejl ved tyveri af midler, men blev nægtet en fuld dusørudbetaling.
  • TrustSec afviste Immunefis goodwill-tilbud med henvisning til bekymringer om gennemsigtighed i Web3.

Immunefi, en førende Web3 bug bounty-platform, har pålagt Trust Security, et hvidt-hat-sikkerhedsfirma, en suspendering i 90 dage efter en strid om en kritisk fejlrapport.

Suspensionen følger efter en kontrovers, der er centreret omkring Trust Securitys påstande om en uretfærdig nægtelse af en fejlbelønning for at identificere en sårbarhed, der kan føre til tyveri af midler.

Tvisten om bug-bounty

Den 12. november tog Trust Security til X (tidligere Twitter) for at afsløre, at dets bounty-team havde opdaget en alvorlig sårbarhed i et splittet mainnet i et uidentificeret projekt.

Fejlen, beskrevet som et spørgsmål om tyveri af midler, blev rapporteret til Immunefi, som letter formidlingen af fejlrapporter og dusørbetalinger mellem hackere og projekter med hvide hater.

Det pågældende projekt argumenterede dog for, at den opdagede sårbarhed var uden for rækkevidde og ikke berettiget til en dusørudbetaling. Immunefi tog parti for projektets holdning og afviste sårbarheden som uden for rækkevidde i henhold til dets etablerede regler.

Immunefi tilbød TrustSec en “goodwill bounty” i stedet for den fulde belønning, men TrustSec afviste den med argumentet, at accept af tilbuddet ville forhindre dem i at afsløre fejlens detaljer uden projektets godkendelse. TrustSec kritiserede yderligere Immunefi for at tage parti med projektets “nonsens-argument” og for, hvad det opfattede som et forsøg på at undertrykke gennemsigtighed i Web3-økosystemet .

Immunefi anklagede til gengæld Trust for at have miskarakteriseret situationen og suspenderede firmaet i 90 dage. Platformen truede med et permanent forbud, hvis TrustSec fortsatte med at misrepræsentere problemet. Immunefi forsvarede sin holdning og anførte, at spørgsmålet faktisk var uden for rammerne i henhold til dets regler, og at projektet var generøst med at tilbyde nogen dusør overhovedet.

Trust Security understregede dog vigtigheden af åbenhed og gennemsigtighed i Web3-fællesskabet og anklagede både det underliggende projekt og Immunefi for at indføre alt for hemmelighedsfuld praksis, der er i modstrid med principperne i fællesskab med hvide hat.

Tvisten har udløst debat blandt samfundsmedlemmer, hvor nogle stiller spørgsmålstegn ved Immunefis beslutning om at indføre en suspension i stedet for at gå i konstruktiv dialog.