- Immunefi a suspendu Trust Security pour avoir mal interprété un rapport de bogue critique.
- Trust Security a découvert un bug de vol de fonds mais s’est vu refuser le versement de la prime intégrale.
- TrustSec a rejeté l’offre de bonne volonté d’Immunefi, invoquant des problèmes de transparence dans Web3.
Immunefi, l’une des principales plateformes de bug bounty du Web3, a imposé une suspension de 90 jours à Trust Security, une société de sécurité white hat, à la suite d’un différend concernant un rapport de bug critique.
La suspension fait suite à une controverse centrée sur les allégations de Trust Security selon lesquelles un bug bounty lui a été refusé injustement pour avoir identifié une vulnérabilité qui pourrait conduire au vol de fonds.
Le conflit autour du bug bounty
Le 12 novembre, Trust Security s’est adressé à X (anciennement Twitter) pour révéler que son équipe de primes avait découvert une vulnérabilité grave dans un mainnet dérivé d’un projet non identifié.
Recently the bounty team at TrustSec found another critical leading to live unauthenticated theft of funds. Due to what we consider malicious behavior of the project and especially of @immunefi , not only did the project get away without paying the bounty, but due to a dirty…
— Trust (@trust__90) November 12, 2024
Le bug, décrit comme un problème de vol de fonds, a été signalé à Immunefi, qui facilite la médiation des rapports de bugs et des paiements de primes entre les hackers white hat et les projets.
Cependant, le projet en question a fait valoir que la vulnérabilité découverte était hors de portée et n’était pas éligible à un paiement de prime.
Immunefi s’est rangé du côté du projet, rejetant la vulnérabilité comme étant hors de portée selon ses règles établies. Immunefi a offert à TrustSec une « prime de bonne volonté » au lieu de la récompense complète, mais TrustSec l’a rejetée, arguant qu’accepter l’offre les empêcherait de divulguer les détails du bug sans l’approbation du projet.
TrustSec a également critiqué Immunefi pour avoir soutenu l’argument absurde du projet et pour ce qu’il perçoit comme une tentative de supprimer la transparence dans l’ écosystème Web3 .
Immunefi a à son tour accusé Trust d’avoir mal interprété la situation et a suspendu l’entreprise pendant 90 jours. La plateforme a menacé de l’interdire définitivement si TrustSec continuait à déformer le problème.
Immunefi a défendu sa position, affirmant que le problème était effectivement hors de portée selon ses règles et que le projet était généreux en offrant une quelconque prime.
Our response to Trust’s tweet:
– We want to be crystal clear: manipulative approaches like this that mischaracterize the issues at hand are unethical and unacceptable. We will be issuing a 90-day suspension. A third and final infraction would result in a permanent ban.
— Immunefi (@immunefi) November 12, 2024
Trust Security a cependant souligné l’importance de l’ouverture et de la transparence au sein de la communauté Web3, accusant à la fois le projet sous-jacent et Immunefi d’adopter des pratiques trop secrètes qui entrent en conflit avec les principes de la communauté white hat.
Le différend a suscité un débat parmi les membres de la communauté, certains remettant en question la décision d’Immunefi d’imposer une suspension plutôt que d’engager un dialogue constructif.