- Immunefi zawiesiło Trust Security za błędną interpretację zgłoszenia krytycznego błędu.
- Firma Trust Security wykryła błąd umożliwiający kradzież środków, ale odmówiono jej wypłaty pełnej kwoty nagrody.
- TrustSec odrzucił ofertę dobrej woli Immunefi, powołując się na obawy dotyczące przejrzystości w Web3.
Immunefi, wiodąca platforma nagród za błędy Web3, zawiesiła na 90 dni Trust Security, firmę zajmującą się bezpieczeństwem white-hat, po sporze dotyczącym krytycznego zgłoszenia błędu.
Zawieszenie nastąpiło po kontrowersjach wokół twierdzeń Trust Security o niesprawiedliwej odmowie przyznania nagrody za błędy za zidentyfikowanie luki w zabezpieczeniach, która mogłaby doprowadzić do kradzieży funduszy.
Spór o nagrodę za błędy
12 listopada Trust Security zwróciło się do X (dawniej Twitter), aby ujawnić, że jego zespół ds. nagród odkrył poważną lukę w zabezpieczeniach w rozwidlonej sieci głównej niezidentyfikowanego projektu.
Recently the bounty team at TrustSec found another critical leading to live unauthenticated theft of funds. Due to what we consider malicious behavior of the project and especially of @immunefi , not only did the project get away without paying the bounty, but due to a dirty…
— Trust (@trust__90) November 12, 2024
Błąd, opisany jako problem kradzieży funduszy, został zgłoszony do Immunefi, które ułatwia mediację w raportach o błędach i wypłatach nagród między hakerami white-hat a projektami.
Jednak projekt, o którym mowa, argumentował, że odkryta luka w zabezpieczeniach wykraczała poza zakres i nie kwalifikowała się do wypłaty nagrody. Immunefi stanęło po stronie projektu, odrzucając lukę jako wykraczającą poza zakres zgodnie z ustalonymi zasadami.
Immunefi zaoferowało TrustSec „nagrodę dobrej woli” zamiast pełnej nagrody, ale TrustSec ją odrzuciło, argumentując, że przyjęcie oferty uniemożliwiłoby im ujawnienie szczegółów błędu bez zgody projektu. TrustSec skrytykował Immunefi za opowiedzenie się po stronie „nonsensownego argumentu” projektu i za to, co postrzegał jako próbę stłumienia przejrzystości w ekosystemie Web3 .
Immunefi z kolei oskarżyło Trust o błędne przedstawienie sytuacji i zawiesiło firmę na 90 dni. Platforma zagroziła trwałym zakazem, jeśli TrustSec nadal będzie błędnie przedstawiać problem.
Immunefi broniło swojego stanowiska, stwierdzając, że problem rzeczywiście wykraczał poza zakres zgodnie z jego zasadami i że projekt był hojny, oferując jakąkolwiek nagrodę.
Our response to Trust’s tweet:
– We want to be crystal clear: manipulative approaches like this that mischaracterize the issues at hand are unethical and unacceptable. We will be issuing a 90-day suspension. A third and final infraction would result in a permanent ban.
— Immunefi (@immunefi) November 12, 2024
Trust Security podkreślił jednak znaczenie otwartości i przejrzystości w społeczności Web3, oskarżając zarówno podstawowy projekt, jak i Immunefi o przyjęcie nadmiernie tajnych praktyk, które są sprzeczne z zasadami społeczności white-hat.
Spór wywołał dyskusję wśród członków społeczności, a niektórzy kwestionują decyzję Immunefi o zawieszeniu działalności zamiast podjęcia konstruktywnego dialogu.