Immunefi menangguhkan Trust Security (TrustSec) di tengah perselisihan bug bounty

• Immunefi telah menangguhkan Trust Security karena salah mengartikan laporan bug kritis.
• Trust Security menemukan bug pencurian dana tetapi ditolak pembayaran hadiah penuh.
• TrustSec menolak tawaran niat baik Immunefi, dengan alasan masalah transparansi di Web3.

Immunefi, platform hadiah bug Web3 terkemuka, telah memberlakukan penangguhan selama 90 hari pada Trust Security, sebuah firma keamanan topi putih, menyusul perselisihan atas laporan bug yang kritis.

Penangguhan tersebut menyusul kontroversi yang berpusat di sekitar klaim Trust Security tentang penolakan yang tidak adil atas hadiah bug untuk mengidentifikasi kerentanan yang dapat menyebabkan pencurian dana.

Perselisihan bug bounty

Pada tanggal 12 November, Trust Security menggunakan X (sebelumnya Twitter) untuk mengungkapkan bahwa tim hadiahnya telah menemukan kerentanan serius dalam mainnet bercabang dari sebuah proyek yang tidak teridentifikasi.

Recently the bounty team at TrustSec found another critical leading to live unauthenticated theft of funds. Due to what we consider malicious behavior of the project and especially of @immunefi , not only did the project get away without paying the bounty, but due to a dirty…

— Trust (@trust__90) November 12, 2024

Bug tersebut, yang digambarkan sebagai masalah pencurian dana, dilaporkan ke Immunefi, yang memfasilitasi mediasi laporan bug dan pembayaran hadiah antara peretas topi putih dan proyek. Namun, proyek yang dimaksud berpendapat bahwa kerentanan yang ditemukan berada di luar cakupan dan tidak memenuhi syarat untuk pembayaran hadiah.

Immunefi berpihak pada pendirian proyek tersebut, menolak kerentanan tersebut karena berada di luar cakupan menurut aturan yang ditetapkan. Immunefi menawarkan TrustSec “hadiah niat baik” alih-alih hadiah penuh, tetapi TrustSec menolaknya, dengan alasan bahwa menerima tawaran tersebut akan mencegah mereka mengungkapkan detail bug tersebut tanpa persetujuan proyek.

TrustSec lebih lanjut mengkritik Immunefi karena berpihak pada “argumen tidak masuk akal” proyek tersebut dan untuk apa yang dianggapnya sebagai upaya untuk menekan transparansi dalam ekosistem Web3 .

Immunefi, pada gilirannya, menuduh Trust salah mengartikan situasi dan menangguhkan perusahaan tersebut selama 90 hari. Platform tersebut mengancam larangan permanen jika TrustSec terus salah mengartikan masalah tersebut.

Immunefi membela posisinya, dengan menyatakan bahwa masalah tersebut memang berada di luar cakupan menurut aturannya dan bahwa proyek tersebut murah hati dalam menawarkan hadiah apa pun.

Our response to Trust’s tweet:

– We want to be crystal clear: manipulative approaches like this that mischaracterize the issues at hand are unethical and unacceptable. We will be issuing a 90-day suspension. A third and final infraction would result in a permanent ban.

-… https://t.co/LcCGcBKvOr

— Immunefi (@immunefi) November 12, 2024

Trust Security, bagaimanapun, menekankan pentingnya keterbukaan dan transparansi dalam komunitas Web3, menuduh proyek yang mendasarinya dan Immunefi mengadopsi praktik yang terlalu rahasia yang bertentangan dengan prinsip-prinsip komunitas white-hat.

Perselisihan tersebut telah memicu perdebatan di antara anggota komunitas, dengan beberapa mempertanyakan keputusan Immunefi untuk memberlakukan penangguhan daripada terlibat dalam dialog yang konstruktif.