التنقل في الثقة والمساءلة في قرصنة القبعة البيضاء: نظرة فاحصة على سيناريو CertiK-Kraken
Summary:
يستكشف المقال التوازن الدقيق للثقة بين شركات الأمن السيبراني والبائعين في سياق قرصنة القبعة البيضاء ، ويناقش حادثة بين خبراء الأمن CertiK وشركة تبادل الأصول الرقمية Kraken. تضمن الحادث ثغرة أمنية اكتشفتها CertiK في رصيد الصرف ووظيفة الإيداع في Kraken. أكد الوضع المعقد على دور ومسؤوليات المتسللين الأخلاقيين ، مع التأكيد على الإبلاغ في الوقت المناسب عن النتائج الهامة وعدم الشروع في المزيد من الاستغلال. تشير المقالة إلى أن مثل هذا العمل التعاوني والثقة ضروريان لتحسين الممارسات الأمنية على مستوى الصناعة.
يعد مجال القرصنة الأخلاقية ، الذي يطلق عليه غالبا اختراق القبعة البيضاء ، عنصرا حيويا في الحفاظ على الأمن السيبراني. يعمل هذا النوع من القرصنة كأداة ل "الأخيار" السيبرانيين ، ويوفر طريقة لتفكيك التطبيقات واكتشاف العيوب الأمنية واستخدام هذه النتائج لتعزيز القوة الأمنية الإجمالية للنظام. يتراوح تطبيقه عبر قطاعات مختلفة بما في ذلك blockchain والتخزين السحابي والذكاء الاصطناعي وأمن نظام التشغيل وغيرها. في كل سيناريو، تطورت رابطة معقدة لكنها قوية بين البائعين وخبراء الأمن، تأسست على توازن دقيق من الثقة. تقوم شركات مثل Trail of Bits و Halborn و Open Zeppelin بفحص وإصلاح مجموعة من العقود الذكية ، والحفاظ على سجل احترافي لا تشوبه شائبة يعزز الثقة.
نشأت مناقشة بين CertiK و Kraken في 17 مايو عندما اكتشف باحثو CertiK فجوة أمنية في حساب رصيد تبادل الأصول الرقمية في Kraken ووظائف الإيداع. اعترفت فرقة الأمن في كراكن بأنها مسألة خطيرة ، وتمكنت من تصحيحها في غضون 47 دقيقة. على الرغم من أنه يبدو غير ضار على السطح ، إلا أن مثل هذه الثغرة الأمنية قد تسمح لمجرمي الإنترنت بتنفيذ إجراء "إنفاق مزدوج" - خداع البورصة لقبول إيداع زائف. بمجرد تحديث الرصيد عن طريق الخطأ ، يمكنهم الالتفاف وسحب المبلغ المعادل. هذا من شأنه أن يستنزف الأموال من محفظة خزانة البورصة ، مثل الكثير من البنوك.
كشفت CertiK عن قائمة بمعاملات الإيداع الاحتيالية ، مما يدل على استغلال هذه الثغرة الأمنية 20 مرة على مدار خمسة أيام باعتبارها "اختبارات" مفترضة لقدرات الكشف في Kraken. في أعقاب هذا الحادث ، تم إعادة إيداع جميع الأموال التي تم تهجيرها خلال مرحلة "الاختبار" المزعومة هذه في كراكن ، باستثناء شريحة صغيرة تم استنفادها في الرسوم.
على الرغم من وجود دليل واضح على الوظيفة ، كان يجب على فريق CertiK تنبيه Kraken بشأن المشكلة على الفور مع الامتناع عن المزيد من التلاعب بالفجوة الأمنية.
قرصنة القبعة البيضاء هي مجال حساس هدفه الأساسي هو تصعيد أمان التطبيق ، وضمان الثقة والشفافية دون فرض تهديد على العمليات التجارية للبائع. ومع ذلك ، فإن قراصنة القبعة البيضاء يغازلون قدرا معينا من الدعاية وبطموحات مضللة يمكنهم بدلا من ذلك إثارة اكتشافاتهم لجذب الانتباه ، مما يؤدي إلى التوتر. يطلب من المتسللين الأخلاقيين الكشف عن النتائج التي توصلوا إليها على الفور مع الحد الأدنى من إثبات المفهوم ، مما يخفف من الاضطرابات التي تتعرض لها أعمال البائع. يعد اختبار الاختراق غير المدعو على مدار أربعة أيام بعد إثبات المفهوم الناجح من قبل CertiK مثالا على ما لا يجب فعله. ومن الواضح أنه كان ينبغي إعادة الأموال إلى كراكن إما على الفور أو في وقت تقديم التقرير الأولي - وما كان ينبغي أبدا سحب هذا المبلغ الكبير.
من منظور الصناعة ، من الضروري إظهار التضامن وحماية بعضنا البعض من الأضرار المحتملة للعناوين أو المنافسات الضارة. مع وجود عدد كبير من المتسللين الضارين لصدهم ، فإننا نعمل على تحسين منتجاتنا وإجراءاتنا الأمنية ، ونمضي قدما باستمرار في الحلول الرائدة. يعد التعاون داخل الصناعة أمرا أساسيا لأنه يؤدي إلى تبادل معلومات مهمة لا تقدر بثمن ، وكما يقولون ، فإن الأمن هو لعبة جماعية. الثقة بين "الأخيار" أمر أساسي للتقدم ولا ينبغي أبدا أن تكون قضية "نحن ضدهم". نحن جميعا نهدف إلى الصالح العام ويجب أن نؤكد على هذه النقطة دائما.
المؤلف شاهار مدار هو نائب رئيس الأمن والثقة في Fireblocks. الآراء الواردة في هذا المقال هي آراء المؤلف فقط ولا تعكس وجهات نظر وآراء كوينتيليغراف. إنه لأغراض إعلامية فقط ولا يشكل مشورة قانونية أو استثمارية.
Published At
6/28/2024 11:48:06 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.