Immunefi 因操纵问题的指控而暂停了 Trust Security 的服务,这引发了关于 Web3 漏洞赏金平台公平性的争论。
Web3 漏洞赏金平台 Immunefi 对白帽安全公司 Trust Security 发出了为期 90 天的停职通知。此前,Trust Security 指责 Immunefi 不公正地拒绝支付漏洞赏金,原因是该公司发现了一个可能导致资金被盗的严重漏洞。 11 月 12 日,Trust Security 在 X 上透露,其赏金团队在一个未知项目的分叉主网上发现了一个严重的资金盗窃漏洞。 该漏洞的概念验证已与 Immunefi 共享,后者充当白帽子和项目之间的中介,以确保在可靠的漏洞识别后支付赏金。 严重错误被驳回,报告为“超出范围”然而,该项目声称,Trust Security 检测到一个超出范围的漏洞,这将实际上使白帽子失去获得赏金的资格。 Trust 称,Immunefi 错误地站在了该项目的“无稽之谈”一边,并提供了“少量善意赏金”而不是对发现关键漏洞给予全额奖励。 Immunefi 威胁永久禁止 TrustSecImmunefi 反驳了 Trust 关于不公正付款的指控,并以“错误描述当前问题”为由对其处以 90 天的停权。该漏洞赏金平台还威胁称,如果 Trust 再次违规,将永久禁止其使用。 Immunefi 发言人在接受 Cointelegraph 采访时表示,Trust 没有违反负责任出版准则,并表示: “停职的原因是不道德的、恶意的错误描述问题以及对我们诚信的诽谤,我们认为这远远超出了批评的范畴。批评是可以的,但这件事不行。” Immunefi 坚定地支持该项目: “在这种情况下,我们同意该项目,因为根据我们的标准规则,这个问题绝对超出了范围。该项目非常慷慨,提供了赏金。” 然而,Trust 拒绝了善意赏金,因为接受赏金将在法律上阻止他们在未经批准的情况下发布详细信息,并补充道,“我们宁愿揭露骗局并警告黑客,也不愿在口袋里多赚几千美元。” Immunefi 还告诉 Cointelegraph,它不认为 Trust 的发现是一个有效的漏洞,因为它需要用户的意外操作才能明确启动对智能合约的无限批准。他们进一步解释道: “要执行此操作,攻击者要么需要等待这种无限批准才能执行攻击,要么需要物理访问用户的私钥。到那时,一切皆有可能。” 此外,Trust 呼吁提高透明度和开放度: “我们之所以公开此事,是因为我们在项目和一些赏金平台上看到的阴暗、极其秘密的行为直接违背了 Web3 精神和白帽社区。” X 上的一些加密社区成员质疑 Immunefi 决定对 Trust 实施禁令而不是进行建设性对话。 10 月份, EvmosBlockchainn向一位通过阅读 Cosmos Network 文档发现了一个严重漏洞的安全研究人员支付了 15 万美元的赏金。 
据化名 Spearbit 安全研究员 jayjonah.eth 称,这个严重的漏洞可能会导致 Evmos 区块链及其上构建的所有去中心化应用程序停止运行。 | 
发表于