- Immunefi har suspendert Trust Security for feilkarakterisering av en kritisk feilrapport.
- Trust Security oppdaget en feil med tyveri av midler, men ble nektet full dusørutbetaling.
- TrustSec avviste Immunefis goodwill-tilbud, med henvisning til bekymringer om åpenhet i Web3.
Immunefi, en ledende Web3 bug bounty-plattform, har innført en 90-dagers suspensjon av Trust Security, et sikkerhetsfirma med hvite hatter, etter en tvist om en kritisk feilrapport.
Suspensjonen følger en kontrovers som sentrerer rundt Trust Securitys påstander om en urettferdig avvisning av en bug-premie for å identifisere en sårbarhet som kan føre til tyveri av midler.
Uenighetstvisten
Den 12. november tok Trust Security til X (tidligere Twitter) for å avsløre at bounty-teamet deres hadde oppdaget en alvorlig sårbarhet i et splittet hovednett i et uidentifisert prosjekt.
Recently the bounty team at TrustSec found another critical leading to live unauthenticated theft of funds. Due to what we consider malicious behavior of the project and especially of @immunefi , not only did the project get away without paying the bounty, but due to a dirty…
— Trust (@trust__90) November 12, 2024
Feilen, beskrevet som et problem med tyveri av midler, ble rapportert til Immunefi, som forenkler formidling av feilrapporter og dusørbetalinger mellom hackere og prosjekter.
Det aktuelle prosjektet hevdet imidlertid at den oppdagede sårbarheten var utenfor omfanget og ikke kvalifisert for en dusørutbetaling. Immunefi sluttet seg til prosjektets holdning og avviste sårbarheten som utenfor omfanget i henhold til de etablerte reglene.
Immunefi tilbød TrustSec en “goodwill bounty” i stedet for den fulle belønningen, men TrustSec avviste det, og argumenterte for at å akseptere tilbudet ville forhindre dem i å avsløre feilens detaljer uten prosjektets godkjenning.
TrustSec kritiserte videre Immunefi for å støtte prosjektets «tull-argument» og for det det oppfattet som et forsøk på å undertrykke åpenhet i Web3-økosystemet .
Immunefi anklaget på sin side Trust for å ha feilkarakterisert situasjonen og suspenderte firmaet i 90 dager. Plattformen truet med et permanent forbud hvis TrustSec fortsatte å feilrepresentere problemet. Immunefi forsvarte sin posisjon, og uttalte at problemet faktisk var utenfor rekkevidde i henhold til reglene, og at prosjektet var sjenerøst med å tilby noen dusør i det hele tatt.
Our response to Trust’s tweet:
– We want to be crystal clear: manipulative approaches like this that mischaracterize the issues at hand are unethical and unacceptable. We will be issuing a 90-day suspension. A third and final infraction would result in a permanent ban.
— Immunefi (@immunefi) November 12, 2024
Trust Security understreket imidlertid viktigheten av åpenhet og transparens i Web3-fellesskapet, og anklaget både det underliggende prosjektet og Immunefi for å ta i bruk altfor hemmelighetsfull praksis som er i konflikt med prinsippene i samfunn med hvite hatter.
Tvisten har utløst debatt blant samfunnsmedlemmer, med noen som stiller spørsmål ved Immunefis beslutning om å innføre en suspensjon i stedet for å delta i konstruktiv dialog.