- Immunefi は、重大なバグレポートを誤って説明したとして Trust Security を停止しました。
- Trust Security は資金盗難のバグを発見したが、報奨金全額の支払いを拒否された。
- TrustSecは、Web3の透明性に関する懸念を理由に、Immunefiの善意による提案を拒否した。
大手 Web3 バグ報奨金プラットフォームの Immunefi は、重大なバグ報告をめぐる論争を受けて、ホワイトハット セキュリティ企業 Trust Security に対して 90 日間のアカウント停止処分を課しました。
このアカウント停止処分は、資金の盗難につながる可能性のある脆弱性を特定したことに対するバグ報奨金が不当に拒否されたという Trust Security の主張をめぐる論争を受けてのものです。
バグ報奨金論争
11月12日、Trust SecurityはX(旧Twitter)で、同社の報奨金チームが正体不明のプロジェクトのフォークされたメインネットに重大な脆弱性を発見したことを明らかにした。
Recently the bounty team at TrustSec found another critical leading to live unauthenticated theft of funds. Due to what we consider malicious behavior of the project and especially of @immunefi , not only did the project get away without paying the bounty, but due to a dirty…
— Trust (@trust__90) November 12, 2024
資金窃盗問題と説明されているこのバグは、ホワイトハットハッカーとプロジェクト間のバグ報告と報奨金の支払いの仲介を促進するImmunefiに報告された。しかし、問題のプロジェクトは、発見された脆弱性は範囲外であり、報奨金の支払い対象ではないと主張した。
Immunefiはプロジェクトの立場を支持し、確立されたルールに従って脆弱性を範囲外として却下した。ImmunefiはTrustSecに全額報酬ではなく「善意の報奨金」を提示したが、TrustSecは、その申し出を受け入れると、プロジェクトの承認なしにバグの詳細を公開できなくなると主張してこれを拒否した。
TrustSecはさらに、Immunefiがプロジェクトの「ナンセンスな議論」に同調し、 Web3エコシステムの透明性を抑制しようとしていると認識していることを批判した。Immunefiは、Trustが状況を誤って表現したとしてTrustを非難し、90日間の停止処分とした。TrustSecが引き続き問題を誤って表現した場合、プラットフォームは永久禁止すると脅した。
Immunefiは、この問題は確かにルールに違反しており、プロジェクトは懸賞金を提供するほど寛大であるとして、自らの立場を擁護した。
Our response to Trust’s tweet:
– We want to be crystal clear: manipulative approaches like this that mischaracterize the issues at hand are unethical and unacceptable. We will be issuing a 90-day suspension. A third and final infraction would result in a permanent ban.
— Immunefi (@immunefi) November 12, 2024
しかし、Trust Securityは、Web3コミュニティ内のオープン性と透明性の重要性を強調し、基盤となるプロジェクトとImmunefiの両方が、ホワイトハットコミュニティの原則に反する過度に秘密主義的な慣行を採用していると非難した。この論争はコミュニティのメンバーの間で議論を巻き起こし、建設的な対話を行うのではなく停止措置を課すというイミュネフィの決定に疑問を呈する者もいる。