- Immunefi ha sospeso Trust Security per aver travisato una segnalazione di bug critica.
- Trust Security ha scoperto un bug che consentiva il furto di fondi, ma si è vista negare il pagamento dell’intera ricompensa.
- TrustSec ha respinto l’offerta di buona volontà di Immunefi, citando problemi di trasparenza in Web3.
Immunefi, una delle principali piattaforme di bug bounty di Web3, ha imposto una sospensione di 90 giorni a Trust Security, un’azienda di sicurezza white-hat, a seguito di una disputa su un bug report critico.
La sospensione segue una controversia che ruota attorno alle affermazioni di Trust Security di un ingiusto rifiuto di un bug bounty per l’identificazione di una vulnerabilità che potrebbe portare al furto di fondi.
La disputa sul bug bounty
Il 12 novembre, Trust Security si è rivolta a X (ex Twitter) per rivelare che il suo team di bounty aveva scoperto una grave vulnerabilità in una mainnet forkata di un progetto non identificato.
Recently the bounty team at TrustSec found another critical leading to live unauthenticated theft of funds. Due to what we consider malicious behavior of the project and especially of @immunefi , not only did the project get away without paying the bounty, but due to a dirty…
— Trust (@trust__90) November 12, 2024
Il bug, descritto come un problema di furto di fondi, è stato segnalato a Immunefi, che facilita la mediazione di segnalazioni di bug e pagamenti di bounty tra hacker white-hat e progetti.
Tuttavia, il progetto in questione ha sostenuto che la vulnerabilità scoperta era fuori dall’ambito e non idonea per un pagamento di bounty. Immunefi si è schierata con la posizione del progetto, liquidando la vulnerabilità come fuori dall’ambito secondo le sue regole stabilite.
Immunefi ha offerto a TrustSec una “bonty di buona volontà” invece della ricompensa completa, ma TrustSec l’ha rifiutata, sostenendo che accettare l’offerta avrebbe impedito loro di divulgare i dettagli del bug senza l’approvazione del progetto.
TrustSec ha ulteriormente criticato Immunefi per essersi schierata con l'”argomento senza senso” del progetto e per quello che ha percepito come un tentativo di sopprimere la trasparenza nell’ecosistema Web3 .
Immunefi, a sua volta, ha accusato Trust di aver travisato la situazione e ha sospeso l’azienda per 90 giorni. La piattaforma ha minacciato un divieto permanente se TrustSec avesse continuato a travisare la questione.
Immunefi ha difeso la sua posizione, affermando che la questione era, in effetti, fuori dall’ambito secondo le sue regole e che il progetto era generoso nell’offrire qualsiasi ricompensa.
Our response to Trust’s tweet:
– We want to be crystal clear: manipulative approaches like this that mischaracterize the issues at hand are unethical and unacceptable. We will be issuing a 90-day suspension. A third and final infraction would result in a permanent ban.
— Immunefi (@immunefi) November 12, 2024
Trust Security, tuttavia, ha sottolineato l’importanza dell’apertura e della trasparenza all’interno della comunità Web3, accusando sia il progetto sottostante che Immunefi di adottare pratiche eccessivamente segrete che sono in conflitto con i principi della comunità white-hat.
La controversia ha acceso il dibattito tra i membri della comunità: alcuni hanno messo in dubbio la decisione di Immunefi di imporre una sospensione anziché impegnarsi in un dialogo costruttivo.