昨年の10月にカンティーナに挑戦することを決め、8ヶ月後、ついに結果が出てきました... 第1回Java監査で数十の単独発見があり、トップのCantinaリーダーボードブラザーズを3〜7倍上回っていることは、嘘をつくつもりはありません。 監査後の体験があまりにもひどかったので、二度とそのプラットフォームには戻らないと誓ったのは残念です。*正当な暴言の警告* - 執筆時点での解決期間は8か月です-バウンティはまだ送信されていません。 - 誤った評決から提出物をエスカレーションし、防御するために数時間を費やしました。 - 修正された104の判断ミス(間違ったデュープ、明確な無効、間違った重大度)をカウントしました。まだないものが増えています。 - 解決に必要以上に7か月長くかかり、OPトークンが~50セントに急落したため、~$110,000の価値が失われました。 確かに、USD以外のコンテストのポットで競争する場合、変動は許容されるリスクです。しかし、8ヶ月間の審査員が無能で、コンテストをまとめることができなかったことは、私の脅威モデルの一部ではありませんでした。C4の審査期間中、私は1週間以内に1000件の調査結果を完全に処理しました(ソロ)、OP-Javaには360人の審査員と複数の審査員がいました。 カンティーナが今週終了した他の5つのコンテストとは異なり、ソーシャルで結果を発表しなかったのは当然のことであり、悪評を避けたり、TrustSecの優位性を強調したりしたかったわけではないのではないでしょうか? 重大なバグではなく、報奨金プラットフォームの不正行為について議論を続けなければならないのは残念ですが、全員に責任を負わせる以外に選択肢はありません。 ソロで見つけた人びとの技術的な内訳の投稿は、まもなく公開されます。