La responsible disclosure (aussi « divulgation coordonnée ») est la pratique où un chercheur qui découvre une vulnérabilité notifie en privé le projet affecté, lui laisse le temps de patcher, et ne publie qu'après, en général une fois le correctif déployé et les utilisateurs à risque mis en sécurité.
En Web3 le calcul est plus tranché qu'en infosec classique :
- Une vulnérabilité dans du code déployé est en général exploitable par n'importe qui, immédiatement, irréversiblement.
- La valeur financière en jeu est souvent visible on-chain.
- La publication qui informe les utilisateurs informe aussi le prochain attaquant.
La responsible disclosure dans ce contexte veut dire contacter le projet (via security@ ou un listing Immunefi) avant toute autre action, leur laisser rédiger les mitigations et avertir les utilisateurs, et ne publier les détails techniques qu'une fois les fonds en sécurité.
Les projets doivent rendre la responsible disclosure facile : un email de sécurité publié, un bug bounty avec un scope clair, et un SLA de triage affiché. Si joindre l'équipe est plus difficile que d'exploiter le bug, attendez-vous à ce que le bug soit exploité.