- Immunefi hat Trust Security wegen der falschen Darstellung eines kritischen Fehlerberichts suspendiert.
- Trust Security entdeckte einen Fehler, der zum Diebstahl von Geldern führte, doch die Auszahlung der vollen Kopfsumme wurde verweigert.
- TrustSec lehnte das Goodwill-Angebot von Immunefi mit der Begründung ab, es gebe Bedenken hinsichtlich der Transparenz von Web3.
Immunefi, eine führende Web3-Bug-Bounty-Plattform, hat Trust Security, ein White-Hat-Sicherheitsunternehmen, nach einem Streit über einen kritischen Fehlerbericht für 90 Tage gesperrt.
Die Sperrung folgt einer Kontroverse, in deren Mittelpunkt Trust Securitys Behauptungen stehen, dass ihm ein Bug-Bounty-Programm für die Identifizierung einer Schwachstelle, die zum Diebstahl von Geldern führen könnte, zu Unrecht verweigert worden sei.
Der Bug-Bounty-Streit
Am 12. November gab Trust Security auf X (ehemals Twitter) bekannt, dass sein Bounty-Team eine schwerwiegende Schwachstelle in einem gegabelten Mainnet eines nicht identifizierten Projekts entdeckt hatte.
Recently the bounty team at TrustSec found another critical leading to live unauthenticated theft of funds. Due to what we consider malicious behavior of the project and especially of @immunefi , not only did the project get away without paying the bounty, but due to a dirty…
— Trust (@trust__90) November 12, 2024
Der Fehler, der als Diebstahl von Geldern beschrieben wurde, wurde Immunefi gemeldet, das die Vermittlung von Fehlerberichten und Kopfgeldzahlungen zwischen White-Hat-Hackern und Projekten erleichtert.
Das betreffende Projekt argumentierte jedoch, dass die entdeckte Schwachstelle außerhalb des Geltungsbereichs liege und nicht für eine Kopfgeldauszahlung in Frage käme. Immunefi stellte sich auf die Seite des Projekts und tat die Schwachstelle gemäß seinen etablierten Regeln als außerhalb des Geltungsbereichs ab.
Immunefi bot TrustSec anstelle der vollen Belohnung eine „Goodwill-Kopfprämie“ an, aber TrustSec lehnte dies mit der Begründung ab, dass die Annahme des Angebots sie daran hindern würde, die Details des Fehlers ohne die Zustimmung des Projekts offenzulegen.
TrustSec kritisierte Immunefi außerdem dafür, sich auf die Seite des „Unsinnsarguments“ des Projekts zu stellen und für das, was es als Versuch ansah, die Transparenz im Web3-Ökosystem zu unterdrücken. Immunefi wiederum warf Trust vor, die Situation falsch darzustellen und suspendierte das Unternehmen für 90 Tage.
Die Plattform drohte mit einer dauerhaften Sperre, falls TrustSec die Angelegenheit weiterhin falsch darstelle. Immunefi verteidigte seine Position und erklärte, dass die Angelegenheit gemäß seinen Regeln tatsächlich außerhalb des Geltungsbereichs liege und dass das Projekt großzügig sei, überhaupt eine Belohnung anzubieten.
Our response to Trust’s tweet:
– We want to be crystal clear: manipulative approaches like this that mischaracterize the issues at hand are unethical and unacceptable. We will be issuing a 90-day suspension. A third and final infraction would result in a permanent ban.
— Immunefi (@immunefi) November 12, 2024
Trust Security betonte jedoch die Bedeutung von Offenheit und Transparenz innerhalb der Web3-Community und warf sowohl dem zugrunde liegenden Projekt als auch Immunefi vor, übermäßig geheimnisvolle Praktiken zu verfolgen, die den Grundsätzen der White-Hat-Community widersprechen.
Der Streit hat eine Debatte unter den Community-Mitgliedern ausgelöst, wobei einige die Entscheidung von Immunefi, eine Sperre zu verhängen, anstatt einen konstruktiven Dialog zu führen, in Frage stellen.