Принципы против правил: этический конфликт Trust Security и Immunefi в bug bounty

Платформа Immunefi, специализирующаяся на поиске уязвимостей в Web3-проектах, приостановила на 90 дней сотрудничество с компанией Trust Security. Причиной стал конфликт из-за вознаграждения за обнаруженную критическую уязвимость.

12 ноября команда Trust Security сообщила в социальной сети X* об обнаружении критической уязвимости в форке основной сети неназванного проекта. Специалисты компании передали доказательство концепции уязвимости платформе Immunefi, выступающей посредником между исследователями безопасности и проектами для обеспечения справедливых выплат вознаграждений.

Однако проект, в котором была найдена уязвимость, заявил, что проблема находится «вне рамок» соглашения, что фактически лишает Trust Security права на вознаграждение. По мнению Trust Security, платформа Immunefi неправомерно поддержала позицию проекта и предложила символическую компенсацию вместо полной выплаты за критическую уязвимость.

В ответ на публичную критику Immunefi временно заблокировала Trust Security на 90 дней за «искажение сути проблемы». Платформа также предупредила о возможной постоянной блокировке в случае повторного нарушения.

«Причина приостановки - неэтичное, недобросовестное искажение проблемы и нанесение ущерба нашей репутации, что, как мы считаем, выходит далеко за рамки критики. Критика допустима, но не в такой форме», - заявил представитель Immunefi.

Immunefi настаивает на правильности решения: «В данном случае мы согласились с проектом, поскольку проблема была абсолютно за пределами периметра тестирования согласно нашим стандартным правилам. Проект проявил щедрость, предложив какое-либо вознаграждение вообще».

Trust Security отказалась принять символическую компенсацию, заявив: «Мы предпочитаем разоблачить мошенничество и предупредить хакеров, чем иметь лишние тысячи на своем счету».

Immunefi также сообщила Cointelegraph, что не считает находку Trust Security полноценной уязвимостью, поскольку для эксплуатации требуется непреднамеренное действие пользователя по предоставлению бесконечного одобрения смарт-контракта. «Для исполнения атаки злоумышленнику потребуется либо ждать такого бесконечного одобрения, либо получить физический доступ к приватным ключам пользователя. В такой ситуации возможно что угодно», - пояснили в компании.

Trust Security призвала к большей прозрачности: «Мы предаем огласке ситуацию, поскольку подозрительное, сверхсекретное поведение, которое мы наблюдаем со стороны проектов и некоторых платформ для поиска уязвимостей, идет вразрез с этикой Web3 и сообществом белых хакеров».

Некоторые участники криптосообщества в X* раскритиковали решение Immunefi о блокировке Trust Security вместо конструктивного диалога.

* Социальная сеть запрещена на территории Российской Федерации