Besloten om Cantina een kans te geven afgelopen oktober, 8 maanden later zijn de resultaten eindelijk binnen... Tientallen solo bevindingen in de 1e Java audit en het overtreffen van de top Cantina leaderboard bro's met 3-7x voelt best goed, om eerlijk te zijn. Het is jammer dat de ervaring na de audit zo verschrikkelijk was dat ik gezworen heb nooit meer naar dat platform terug te keren. *gerechtvaardigde rant waarschuwing* - 8 maanden resolutietijd, op het moment van schrijven - bounty is nog steeds niet verzonden. - Tientallen uren besteed aan het escaleren en verdedigen van inzendingen tegen verkeerde uitspraken. - Ongeveer 104 beoordelingsfouten geteld (verkeerde duplicaten, duidelijke ongeldig, verkeerde ernst) die zijn gecorrigeerd. Meer die dat nog niet zijn. - Waardeverlies van ~$110.000 door de resolutie die 7 maanden langer duurde dan het zou moeten en de OP-token die naar ~50 cent is gedaald. Zeker, wanneer je meedoet aan niet-USD wedstrijdpotten zijn fluctuaties een aanvaardbaar risico. Maar 8 maanden van incompetente juryleden en niet in staat zijn om een wedstrijd af te ronden, maakte geen deel uit van mijn dreigingsmodel. Tijdens de C4 beoordelingsdagen verwerkte ik volledig 1000 bevindingen in minder dan een week (solo), OP-Java had 360 en meerdere juryleden. Het is geen verrassing dat Cantina nooit de resultaten op sociale media heeft aangekondigd, in tegenstelling tot 5 andere wedstrijden die deze week zijn afgerond, het kan zeker niet zo zijn dat ze slechte publiciteit of het benadrukken van TrustSec-dominantie wilden vermijden, toch? Het is jammer dat we moeten blijven praten over malpractices van bountyplatforms in plaats van kritieke bugs, maar er is geen andere keuze dan iedereen verantwoordelijk te houden. Een rant-vrije technische analysepost voor de solo bevindingen komt binnenkort.