- Immunefi heeft Trust Security geschorst vanwege een onjuiste voorstelling van zaken bij een kritieke bugmelding.
- Trust Security ontdekte een bug die diefstal van fondsen kon voorkomen, maar kreeg de volledige premie niet uitbetaald.
- TrustSec heeft het goodwillaanbod van Immunefi afgewezen en verwees daarbij naar zorgen over de transparantie in Web3.
Immunefi, een toonaangevend Web3 bug bounty-platform, heeft een schorsing van 90 dagen opgelegd aan Trust Security, een white-hat beveiligingsbedrijf, na een geschil over een kritieke bugmelding.
De schorsing volgt op een controverse die draait om de beweringen van Trust Security over een onterechte weigering van een bug bounty voor het identificeren van een kwetsbaarheid die kan leiden tot diefstal van fondsen.
Het geschil over de bug bounty
Op 12 november meldde Trust Security aan X (voorheen Twitter) dat het bountyteam een ernstige kwetsbaarheid had ontdekt in een geforkt mainnet van een niet-geïdentificeerd project.
Recently the bounty team at TrustSec found another critical leading to live unauthenticated theft of funds. Due to what we consider malicious behavior of the project and especially of @immunefi , not only did the project get away without paying the bounty, but due to a dirty…
— Trust (@trust__90) November 12, 2024
De bug, beschreven als een diefstal van fondsenprobleem, werd gemeld aan Immunefi, dat de bemiddeling van bugrapporten en bountybetalingen tussen white-hat hackers en projecten faciliteert.
Het betreffende project betoogde echter dat de ontdekte kwetsbaarheid buiten het bereik viel en niet in aanmerking kwam voor een bounty-uitbetaling. Immunefi schaarde zich achter het standpunt van het project en verwierp de kwetsbaarheid als buiten het bereik volgens de vastgestelde regels.
Immunefi bood TrustSec een “goodwill bounty” in plaats van de volledige beloning, maar TrustSec wees dit af, met het argument dat het accepteren van het aanbod hen zou verhinderen de details van de bug bekend te maken zonder de goedkeuring van het project.
TrustSec bekritiseerde Immunefi verder omdat het de kant van het “onzinargument” van het project koos en voor wat het zag als een poging om transparantie in het Web3-ecosysteem te onderdrukken. Immunefi beschuldigde Trust op zijn beurt van het verkeerd voorstellen van de situatie en schorste het bedrijf voor 90 dagen.
Het platform dreigde met een permanent verbod als TrustSec het probleem verkeerd zou blijven voorstellen. Immunefi verdedigde zijn standpunt en stelde dat het probleem inderdaad buiten de reikwijdte van zijn regels viel en dat het project genereus was door überhaupt een beloning aan te bieden.
Our response to Trust’s tweet:
– We want to be crystal clear: manipulative approaches like this that mischaracterize the issues at hand are unethical and unacceptable. We will be issuing a 90-day suspension. A third and final infraction would result in a permanent ban.
— Immunefi (@immunefi) November 12, 2024
Trust Security benadrukte echter het belang van openheid en transparantie binnen de Web3-community en beschuldigde zowel het onderliggende project als Immunefi van het aannemen van overdreven geheime praktijken die in strijd zijn met de principes van de white-hat-community.
Het geschil heeft geleid tot debatten onder communityleden, waarbij sommigen de beslissing van Immunefi om een schorsing op te leggen in twijfel trokken in plaats van een constructieve dialoog aan te gaan.