Immunefi 暫停 Trust Security 的合約,因為對於被拒絕的漏洞獎金支付的爭議
Web3 漏洞獎金平台 Immunefi 在收到對於不公平拒絕漏洞獎金支付的指控後,已暫停白帽安全公司 Trust Security 的合約,為期 90 天。
Trust Security 指控 Immunefi 側向一個據稱忽視了關鍵漏洞的項目,該漏洞可能導致資金被盜。
爭議始於 11 月 12 日,當時 Trust Security 在 X 平台上披露其團隊在一個未公開項目的分叉主網上發現了一個關鍵的資金盜竊漏洞。
Immunefi 認為報告的漏洞不在範疇之內
該漏洞已與 Immunefi 共享,旨在為識別高風險漏洞提供獎金支付。
作為道德黑客與區塊鏈項目之間的調解者,Immunefi 最終得出結論,認為報告的漏洞超出了範疇,使其不符合全額獎金的資格。
Trust Security 批評這一決定,聲稱 Immunefi 支持該項目的「無稽之談」,並僅提供一個小額的「善意獎金」,而非全額支付。
Trust 拒絕了這一提議,並表示擔心透明度,因為接受該提議將在法律上阻止他們在未經項目批准的情況下透露漏洞的詳細信息。
Immunefi 反駁了這些指控,堅稱其決策遵循標準指導方針。
「這個問題根據我們的標準規則超出了範疇,」Immunefi 表示,並補充說該項目的善意提議是一個慷慨的姿態。
該平台通過暫停 Trust Security 的合約來捍衛其立場,指責其「誤解問題」,並警告如果重複違規將面臨永久禁令。
然而,Trust Security 指控 Immunefi 優先考慮保密而非 Web3 的透明和社區驅動的安全理念。
「我們寧願揭露詐騙並警告黑客,也不願意多賺幾千美元。」
值得注意的是,在 10 月,Evmos 區塊鏈向一位研究人員支付了 15 萬美元的獎勵,因其識別了一個可能停止其運行的關鍵漏洞。
2024 年第三季度加密黑客損失超過 4.09 億美元
根據 Immunefi 最近的報告,估計在 2024 年第三季度,約 4.09 億美元被加密黑客盜取。
報告指出,該季度的黑客攻擊佔總損失資金的 99.25%,而詐騙則僅佔 0.75%。
詐騙案件年同比顯著下降,降幅達 86.4%。
這 4.09 億美元的數字較 2023 年同一季度的損失(超過 6.85 億美元)下降了 40%。
報告指出,儘管 DeFi 的事件數量較多,但 CeFi 負責的損失更為嚴重,部分單一攻擊導致數億美元的資產被盜。
「我們看到針對 DeFi 的事件數量增加,而 CeFi 的事件較少,但往往伴隨著更嚴重的後果,單次利用就導致數億美元的資金被盜,」Immunefi 創始人兼 CEO Mitchell Amador 表示。
Amador 進一步解釋,私鑰管理仍然是 CeFi 最大的漏洞之一。
「這需要嚴格的密鑰管理政策、實踐和應急計畫,」她補充道。