我是一名独立的安全研究员。最近我通过他们的bug bounty方案发现并报告了Deribit平台中多处严重安全漏洞。

然而相反,我发给Deribit的 bug 报告却并未得到他们事先承诺的"快速支付" SLA(承诺支付期限为1个月)的处理。Deribit从默默地push修复到生产环境,并对我进行了70余天的无动于衷无反馈。没有任何triage,不仅没有任何沟通,也没有支付任何bug奖励。

当我将此情况 escalate 到 HackerOne的支持团队时,被告知Deribit已经失去了 HackerOne的管理,所以 HackerOne无法左右Deribit响应或支付bug奖励,尽管Deribit的页面上还有"Gold Standard Safe Harbor"和"Platform Standards"的标签。

我的问题不仅仅是关于未支付的bug奖金。我的问题是透明度。如果主要的加密交易平台在后台秘密修复了严重的安全漏洞而拒绝公开宣布,那么交易者有 이유相信该平台是安全的吗?他们在用户不知情的情况下修复了什么其他东西?

由于对双方的合同有约束,不得分享技术细节。但我觉得社区有权知道此交易平台处理安全报告以及对尝试维护该平台安全的研发人员的态度。

请慎重使用宝押在那些以隐瞒安全漏洞而不是透明度为导向的交易平台上。