- Immunefi har stängt av Trust Security för att ha felkarakteriserat en kritisk felrapport.
- Trust Security upptäckte en stöld-av-medel-bugg men nekades en full bounty-utbetalning.
- TrustSec avvisade Immunefis erbjudande om goodwill med hänvisning till oro för öppenhet i Web3.
Immunefi, en ledande Web3 bug bounty-plattform, har infört en 90-dagars avstängning av Trust Security, ett vitt säkerhetsföretag, efter en tvist om en kritisk felrapport.
Avstängningen följer på en kontrovers som kretsar kring Trust Securitys påståenden om ett orättfärdigt nekande av en buggpenning för att identifiera en sårbarhet som kan leda till stöld av pengar.
Tvisten om buggen
Den 12 november gick Trust Security till X (tidigare Twitter) för att avslöja att dess bounty-team hade upptäckt en allvarlig sårbarhet i ett splittrat huvudnät i ett oidentifierat projekt.
Recently the bounty team at TrustSec found another critical leading to live unauthenticated theft of funds. Due to what we consider malicious behavior of the project and especially of @immunefi , not only did the project get away without paying the bounty, but due to a dirty…
— Trust (@trust__90) November 12, 2024
Felet, som beskrivs som ett problem med stöld av pengar, rapporterades till Immunefi, som underlättar förmedlingen av felrapporter och prisutbetalningar mellan hackare och projekt. Projektet i fråga hävdade dock att den upptäckta sårbarheten var utanför omfattningen och inte berättigade till en prisutbetalning.
Immunefi ställde sig på projektets sida och avfärdade sårbarheten som utanför räckvidden enligt dess fastställda regler. Immunefi erbjöd TrustSec en “goodwill bounty” istället för den fulla belöningen, men TrustSec avvisade det och hävdade att om de accepterade erbjudandet skulle det hindra dem från att avslöja buggens detaljer utan projektets godkännande.
TrustSec kritiserade vidare Immunefi för att ha tagit parti för projektets “nonsensargument” och för vad det uppfattade som ett försök att undertrycka transparens i Web3-ekosystemet .
Immunefi anklagade i sin tur Trust för att ha felkarakteriserat situationen och stängde av företaget i 90 dagar. Plattformen hotade med ett permanent förbud om TrustSec fortsatte att felaktigt framställa problemet.
Immunefi försvarade sin ståndpunkt och menade att frågan verkligen var utanför räckvidden enligt dess regler och att projektet var generöst med att erbjuda någon belöning överhuvudtaget.
Our response to Trust’s tweet:
– We want to be crystal clear: manipulative approaches like this that mischaracterize the issues at hand are unethical and unacceptable. We will be issuing a 90-day suspension. A third and final infraction would result in a permanent ban.
— Immunefi (@immunefi) November 12, 2024
Trust Security betonade dock vikten av öppenhet och transparens inom Web3-gemenskapen och anklagade både det underliggande projektet och Immunefi för att anta alltför hemlighetsfulla metoder som strider mot principerna för gemenskap med vita hattar.
Tvisten har väckt debatt bland samhällsmedlemmar, och vissa ifrågasätter Immunefis beslut att införa en avstängning snarare än att delta i en konstruktiv dialog.