Управление доверием и подотчетностью при взломе «белых»: более пристальный взгляд на сценарий CertiK-Kraken
Summary:
В статье исследуется хрупкий баланс доверия между фирмами по кибербезопасности и вендорами в контексте белого взлома, обсуждается инцидент между экспертами по безопасности CertiK и компанией по обмену цифровых активов Kraken. Инцидент был связан с уязвимостью безопасности, обнаруженной CertiK в балансе биржи и функциональности депозитов Kraken. Сложная ситуация подчеркнула роль и ответственность этичных хакеров, подчеркнув необходимость своевременного сообщения о критических результатах и недопущения дальнейшей эксплуатации. В статье говорится о том, что такая совместная работа и доверие имеют важное значение для улучшения общеотраслевых методов обеспечения безопасности.
Область этичного хакинга, часто называемая белым хакерством, является жизненно важным элементом в поддержании кибербезопасности. Служа инструментом для кибер-«хороших парней», эта форма взлома предлагает способ взлома приложений, обнаружения недостатков безопасности и использования этих результатов для укрепления общей безопасности системы. Его применение охватывает различные сектора, включая блокчейн, облачное хранилище, искусственный интеллект и безопасность операционных систем. В каждом сценарии между поставщиками и экспертами по безопасности сложилась сложная, но прочная связь, основанная на тонком балансе доверия. Такие фирмы, как Trail of Bits, Halborn и Open Zeppelin, изучают и исправляют ряд смарт-контрактов, поддерживая безупречную профессиональную репутацию, которая повышает доверие.
Дискуссия между CertiK и Kraken возникла 17 мая, когда исследователи CertiK обнаружили брешь в безопасности в функции расчета баланса и депозитов биржи цифровых активов Kraken. Служба безопасности «Кракена» признала, что это серьезная проблема, и сумела исправить ее в течение 47 минут. Несмотря на то, что на первый взгляд она кажется безобидной, такая уязвимость может позволить киберпреступникам совершить операцию «двойного расходования» - обмануть биржу, заставив ее принять ложный депозит. Как только баланс по ошибке обновится, они могут развернуться и снять эквивалентную сумму. Это приведет к истощению средств из казначейского кошелька биржи, как и в банке.
CertiK раскрыла список мошеннических транзакций по депозитам, продемонстрировав эксплуатацию этой уязвимости 20 раз в течение пяти дней в качестве предполагаемых «тестов» возможностей обнаружения Kraken. После этого инцидента все средства, перемещенные во время этой предполагаемой фазы «тестирования», были повторно депонированы в Kraken, за исключением небольшого сегмента, который был истощен комиссиями.
Несмотря на наличие четких доказательств функционирования, команда CertiK должна была немедленно предупредить Kraken о проблеме, воздерживаясь от дальнейших манипуляций с брешью в безопасности.
Белый взлом — это чувствительная область, основной целью которой является повышение безопасности приложений, обеспечение доверия и прозрачности без угрозы бизнес-операциям поставщика. Тем не менее, белые хакеры добиваются определенной известности и с ошибочными амбициями могут вместо этого сделать сенсацию из своих открытий, чтобы привлечь к себе внимание, что приводит к напряженности. Этичные хакеры обязаны оперативно раскрывать свои выводы с минимальным доказательством концепции, чтобы смягчить ущерб для бизнеса поставщиков. Нежелательное тестирование на проникновение в течение четырех дней после успешного подтверждения концепции CertiK является примером того, чего не следует делать. Очевидно, что средства должны были быть возвращены Kraken либо сразу, либо во время первоначального отчета - такая существенная сумма никогда не должна была быть выведена.
С точки зрения отрасли, жизненно важно проявлять солидарность и защищать друг друга от потенциального вреда, связанного с негативными заголовками или соперничеством. В связи с большим количеством вредоносных хакеров, которым необходимо отбиваться, мы совершенствуем наши продукты и процедуры безопасности, последовательно продвигаясь вперед с новаторскими решениями. Сотрудничество внутри отрасли является ключевым, поскольку оно приводит к обмену важной и бесценной информацией, а, как говорится, безопасность — это командная игра. Доверие между «хорошими парнями» имеет фундаментальное значение для прогресса, и это никогда не должно быть случаем «мы против них». Мы все стремимся к общему благу и всегда должны подчеркивать этот момент.
Автор Шахар Мадар является вице-президентом по безопасности и доверию в Fireblocks. Взгляды, изложенные в этой статье, принадлежат исключительно автору и не отражают взгляды и мнения Cointelegraph. Она предназначена только для информационных целей и не является юридической или инвестиционной консультацией.
Published At
6/28/2024 11:48:06 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.