- Immunefi hat Trust Security suspendiert, weil es einen kritischen Fehlerbericht falsch dargestellt hat.
- Trust Security entdeckte einen Fehler beim Diebstahl von Geldern, verweigerte jedoch die volle Auszahlung des Kopfgeldes.
- TrustSec lehnte das Kulanzangebot von Immunefi ab und verwies auf Transparenzbedenken in Web3.
Immunefi, eine führende Web3-Bug-Bounty-Plattform, hat Trust Security, ein White-Hat-Sicherheitsunternehmen, nach einem Streit über einen kritischen Fehlerbericht eine 90-tägige Sperre auferlegt.
Die Aussetzung folgt auf eine Kontroverse, die sich um die Behauptung von Trust Security dreht, eine Bug-Bounty sei zu Unrecht verweigert worden, weil eine Schwachstelle identifiziert wurde, die zum Diebstahl von Geldern führen könnte.
Der Bug-Bounty-Streit
Am 12. November wandte sich Trust Security an X (ehemals Twitter), um zu enthüllen, dass sein Bounty-Team eine schwerwiegende Schwachstelle in einem abgespaltenen Mainnet eines nicht identifizierten Projekts entdeckt hatte.
Kürzlich hat das Bounty-Team von TrustSec einen weiteren kritischen Hinweis auf einen nicht authentifizierten Diebstahl von Geldern gefunden. Aufgrund dessen, was wir als böswilliges Verhalten des Projekts und insbesondere von betrachten @immunefi das Projekt kam nicht nur davon, ohne das Kopfgeld zu zahlen, sondern auch aufgrund eines schmutzigen …
– Vertrauen (@trust__90) 12. November 2024
Der als Gelddiebstahl beschriebene Fehler wurde an Immunefi gemeldet, was die Vermittlung von Fehlerberichten und Kopfgeldzahlungen zwischen White-Hat-Hackern und Projekten erleichtert. Das betreffende Projekt argumentierte jedoch, dass die entdeckte Schwachstelle außerhalb des Anwendungsbereichs liege und nicht für eine Prämienauszahlung in Frage komme.
Immunefi schloss sich der Haltung des Projekts an und wies die Schwachstelle gemäß den festgelegten Regeln als außerhalb des Geltungsbereichs liegendes ab.
Immunefi bot TrustSec ein „Kulanzprämien“ anstelle der vollen Belohnung an, aber TrustSec lehnte dies mit der Begründung ab, dass die Annahme des Angebots sie daran hindern würde, die Details des Fehlers ohne die Genehmigung des Projekts offenzulegen.
TrustSec kritisierte Immunefi außerdem dafür, dass es sich auf die „Unsinnsargumentation“ des Projekts einließ und das, was es als Versuch ansah, die Transparenz im Web3-Ökosystem zu unterdrücken.
Immunefi wiederum warf Trust eine falsche Darstellung der Situation vor und suspendierte das Unternehmen für 90 Tage. Die Plattform drohte mit einem dauerhaften Verbot, falls TrustSec das Problem weiterhin falsch darstellte.
Immunefi verteidigte seine Position und erklärte, dass das Problem gemäß seinen Regeln tatsächlich außerhalb des Geltungsbereichs liege und dass das Projekt großzügig sei, überhaupt ein Kopfgeld anzubieten.
Unsere Antwort auf den Tweet von Trust:
– Wir möchten es ganz klar sagen: Manipulative Ansätze wie dieser, die die anstehenden Probleme falsch darstellen, sind unethisch und inakzeptabel. Wir werden eine 90-tägige Sperre verhängen. Ein dritter und letzter Verstoß hätte eine dauerhafte Sperre zur Folge.
— Immunefi (@immunefi) 12. November 2024
Trust Security betonte jedoch die Bedeutung von Offenheit und Transparenz innerhalb der Web3-Community und warf sowohl dem zugrunde liegenden Projekt als auch Immunefi vor, übermäßig geheime Praktiken anzuwenden, die im Widerspruch zu den Prinzipien der White-Hat-Community stehen.
Der Streit hat unter Community-Mitgliedern eine Debatte ausgelöst, wobei einige die Entscheidung von Immunefi in Frage stellten, eine Aussetzung zu verhängen, anstatt sich an einem konstruktiven Dialog zu beteiligen.
Quelle: Coinlist.me
