- Immunefi har suspenderet Trust Security for forkert karakterisering af en kritisk fejlrapport.
- Trust Security opdagede en fejl ved tyveri af midler, men blev nægtet en fuld dusørudbetaling.
- TrustSec afviste Immunefis goodwill-tilbud med henvisning til bekymringer om gennemsigtighed i Web3.
Immunefi, en førende Web3 bug bounty-platform, har pålagt Trust Security, et hvidt-hat-sikkerhedsfirma, en suspendering i 90 dage efter en strid om en kritisk fejlrapport.
Suspensionen følger efter en kontrovers, der er centreret omkring Trust Securitys påstande om en uretfærdig nægtelse af en fejlbelønning for at identificere en sårbarhed, der kan føre til tyveri af midler.
Tvisten om bug-bounty
Den 12. november tog Trust Security til X (tidligere Twitter) for at afsløre, at dets bounty-team havde opdaget en alvorlig sårbarhed i et splittet mainnet i et uidentificeret projekt.
Recently the bounty team at TrustSec found another critical leading to live unauthenticated theft of funds. Due to what we consider malicious behavior of the project and especially of @immunefi , not only did the project get away without paying the bounty, but due to a dirty…
— Trust (@trust__90) November 12, 2024
Fejlen, beskrevet som et spørgsmål om tyveri af midler, blev rapporteret til Immunefi, som letter formidlingen af fejlrapporter og dusørbetalinger mellem hackere og projekter med hvide hater.
Det pågældende projekt argumenterede dog for, at den opdagede sårbarhed var uden for rækkevidde og ikke berettiget til en dusørudbetaling. Immunefi tog parti for projektets holdning og afviste sårbarheden som uden for rækkevidde i henhold til dets etablerede regler.
Immunefi tilbød TrustSec en “goodwill bounty” i stedet for den fulde belønning, men TrustSec afviste den med argumentet, at accept af tilbuddet ville forhindre dem i at afsløre fejlens detaljer uden projektets godkendelse. TrustSec kritiserede yderligere Immunefi for at tage parti med projektets “nonsens-argument” og for, hvad det opfattede som et forsøg på at undertrykke gennemsigtighed i Web3-økosystemet .
Immunefi anklagede til gengæld Trust for at have miskarakteriseret situationen og suspenderede firmaet i 90 dage. Platformen truede med et permanent forbud, hvis TrustSec fortsatte med at misrepræsentere problemet. Immunefi forsvarede sin holdning og anførte, at spørgsmålet faktisk var uden for rammerne i henhold til dets regler, og at projektet var generøst med at tilbyde nogen dusør overhovedet.
Our response to Trust’s tweet:
– We want to be crystal clear: manipulative approaches like this that mischaracterize the issues at hand are unethical and unacceptable. We will be issuing a 90-day suspension. A third and final infraction would result in a permanent ban.
— Immunefi (@immunefi) November 12, 2024
Trust Security understregede dog vigtigheden af åbenhed og gennemsigtighed i Web3-fællesskabet og anklagede både det underliggende projekt og Immunefi for at indføre alt for hemmelighedsfuld praksis, der er i modstrid med principperne i fællesskab med hvide hat.
Tvisten har udløst debat blandt samfundsmedlemmer, hvor nogle stiller spørgsmålstegn ved Immunefis beslutning om at indføre en suspension i stedet for at gå i konstruktiv dialog.