Immunefi sospende Trust Security (TrustSec) a causa della controversia sui bug bounty

Immunefi sospende Trust Security (TrustSec) a causa della controversia sui bug bounty

By Charles Thuo - min. di lettura
Immunefi suspends Trust Security (TrustSec) amid bug bounty dispute
  • Immunefi ha sospeso Trust Security per aver travisato una segnalazione di bug critica.
  • Trust Security ha scoperto un bug che consentiva il furto di fondi, ma si è vista negare il pagamento dell’intera ricompensa.
  • TrustSec ha respinto l’offerta di buona volontà di Immunefi, citando problemi di trasparenza in Web3.

Immunefi, una delle principali piattaforme di bug bounty di Web3, ha imposto una sospensione di 90 giorni a Trust Security, un’azienda di sicurezza white-hat, a seguito di una disputa su un bug report critico.

La sospensione segue una controversia che ruota attorno alle affermazioni di Trust Security di un ingiusto rifiuto di un bug bounty per l’identificazione di una vulnerabilità che potrebbe portare al furto di fondi.

La disputa sul bug bounty

Il 12 novembre, Trust Security si è rivolta a X (ex Twitter) per rivelare che il suo team di bounty aveva scoperto una grave vulnerabilità in una mainnet forkata di un progetto non identificato.

Il bug, descritto come un problema di furto di fondi, è stato segnalato a Immunefi, che facilita la mediazione di segnalazioni di bug e pagamenti di bounty tra hacker white-hat e progetti.

Tuttavia, il progetto in questione ha sostenuto che la vulnerabilità scoperta era fuori dall’ambito e non idonea per un pagamento di bounty. Immunefi si è schierata con la posizione del progetto, liquidando la vulnerabilità come fuori dall’ambito secondo le sue regole stabilite.

Immunefi ha offerto a TrustSec una “bonty di buona volontà” invece della ricompensa completa, ma TrustSec l’ha rifiutata, sostenendo che accettare l’offerta avrebbe impedito loro di divulgare i dettagli del bug senza l’approvazione del progetto.

TrustSec ha ulteriormente criticato Immunefi per essersi schierata con l'”argomento senza senso” del progetto e per quello che ha percepito come un tentativo di sopprimere la trasparenza nell’ecosistema Web3 .

Immunefi, a sua volta, ha accusato Trust di aver travisato la situazione e ha sospeso l’azienda per 90 giorni. La piattaforma ha minacciato un divieto permanente se TrustSec avesse continuato a travisare la questione.

Immunefi ha difeso la sua posizione, affermando che la questione era, in effetti, fuori dall’ambito secondo le sue regole e che il progetto era generoso nell’offrire qualsiasi ricompensa.

Trust Security, tuttavia, ha sottolineato l’importanza dell’apertura e della trasparenza all’interno della comunità Web3, accusando sia il progetto sottostante che Immunefi di adottare pratiche eccessivamente segrete che sono in conflitto con i principi della comunità white-hat.

La controversia ha acceso il dibattito tra i membri della comunità: alcuni hanno messo in dubbio la decisione di Immunefi di imporre una sospensione anziché impegnarsi in un dialogo costruttivo.