- Immunefi pozastavila činnosť Trust Security za nesprávne označenie kritickej správy o chybe.
- Trust Security objavila chybu pri krádeži finančných prostriedkov, ale zamietla jej vyplatenie celej odmeny.
- TrustSec odmietol ponuku dobrej vôle Immunefi s odvolaním sa na obavy týkajúce sa transparentnosti vo Web3.
Immunefi, popredná platforma Web3 bug bounty, uvalila 90-dňové pozastavenie činnosti spoločnosti Trust Security, bezpečnostnej firme s bielym klobúkom, po spore o kritickú správu o chybe.
Pozastavenie nasleduje po kontroverzii, ktorá sa sústreďuje okolo tvrdení Trust Security o nespravodlivom odmietnutí odmeny za chyby za identifikáciu zraniteľnosti, ktorá by mohla viesť ku krádeži finančných prostriedkov.
Spor o odmenu za chyby
12. novembra sa Trust Security obrátil na X (predtým Twitter), aby odhalil, že jeho bounty tím objavil vážnu zraniteľnosť v rozvetvenej hlavnej sieti neidentifikovaného projektu.
Recently the bounty team at TrustSec found another critical leading to live unauthenticated theft of funds. Due to what we consider malicious behavior of the project and especially of @immunefi , not only did the project get away without paying the bounty, but due to a dirty…
— Trust (@trust__90) November 12, 2024
Chyba, opísaná ako problém s krádežou finančných prostriedkov, bola nahlásená spoločnosti Immunefi, ktorá uľahčuje sprostredkovanie hlásení o chybách a výplaty odmien medzi hackermi a projektmi.
Predmetný projekt však tvrdil, že zistená zraniteľnosť je mimo rozsahu a nie je spôsobilá na vyplatenie odmeny. Immunefi sa postavila na stranu projektu a odmietla zraniteľnosť ako mimo rámca podľa svojich stanovených pravidiel.
Immunefi ponúkla TrustSec „odmenu za dobrú vôľu“ namiesto plnej odmeny, ale TrustSec to odmietol s odôvodnením, že akceptovanie ponuky by im zabránilo zverejniť podrobnosti o chybe bez schválenia projektu.
TrustSec ďalej kritizoval Immunefi za to, že sa postavil na stranu „nezmyselného argumentu“ projektu a za to, čo vnímal ako pokus potlačiť transparentnosť v ekosystéme Web3 .
Immunefi zase obvinila Trust, že nesprávne charakterizovala situáciu a pozastavila činnosť firmy na 90 dní. Platforma pohrozila trvalým zákazom, ak bude TrustSec naďalej skresľovať problém.
Immunefi obhajovala svoje stanovisko a uviedla, že táto záležitosť bola skutočne mimo rozsahu jej pravidiel a že projekt bol veľkorysý a ponúkal vôbec akúkoľvek odmenu.
Our response to Trust’s tweet:
– We want to be crystal clear: manipulative approaches like this that mischaracterize the issues at hand are unethical and unacceptable. We will be issuing a 90-day suspension. A third and final infraction would result in a permanent ban.
— Immunefi (@immunefi) November 12, 2024
Trust Security však zdôraznil dôležitosť otvorenosti a transparentnosti v rámci komunity Web3 a obvinil tak základný projekt, ako aj Immunefi z prijatia príliš tajných praktík, ktoré sú v rozpore s princípmi white-hat komunita.
Spor vyvolal diskusiu medzi členmi komunity, pričom niektorí spochybňovali rozhodnutie Immunefi uvaliť pozastavenie namiesto zapojenia sa do konštruktívneho dialógu.