驾驭白帽黑客攻击中的信任和问责制:仔细研究 CertiK-Kraken 场景
Summary:
本文探讨了在白帽黑客攻击的背景下,网络安全公司和供应商之间微妙的信任平衡,讨论了安全专家 CertiK 和数字资产交易所公司 Kraken 之间的事件。该事件涉及 CertiK 在 Kraken 的交易所余额和存款功能中发现的安全漏洞。复杂的情况凸显了道德黑客的作用和责任,强调及时报告关键发现,并且不发起进一步的利用。这篇文章表明,这种协作和信任对于改善整个行业的安全实践至关重要。
道德黑客领域,通常被称为白帽黑客,是维护网络安全的重要因素。作为网络“好人”的工具,这种形式的黑客攻击提供了一种分解应用程序、发现安全漏洞并利用这些发现来加强系统整体安全实力的方法。其应用范围涵盖各个领域,包括区块链、云存储、人工智能和操作系统安全等。在每种情况下,供应商和安全专家之间都建立了一种复杂而牢固的联系,这种联系建立在微妙的信任平衡之上。Trail of Bits、Halborn 和 Open Zeppelin 等公司一直在检查和修复一系列智能合约,保持无可挑剔的专业记录,增强信任。
5 月 17 日,CertiK 和 Kraken 之间展开了讨论,当时 CertiK 研究人员在 Kraken 的数字资产交易所余额计算和存款功能中发现了一个安全漏洞。海妖安全小队承认这是一个严重的问题,并设法在47分钟内纠正了它。虽然从表面上看似乎无害,但这样的漏洞可能允许网络犯罪分子进行“双重支出”行动——欺骗交易所接受虚假存款。一旦余额错误地更新,他们可能会转身提取等值金额。这将从交易所的国库钱包中抽走资金,就像银行一样。
CertiK 披露了一份欺诈性存款交易列表,展示了在五天内利用此漏洞 20 次,作为对 Kraken 检测能力的所谓“测试”。在这次事件发生后,在这个所谓的“测试”阶段转移的所有资金都已重新存入Kraken,除了一小部分费用耗尽。
尽管有明确的功能证据,但 CertiK 团队应该立即就此问题向 Kraken 发出警报,同时避免进一步操纵安全漏洞。
白帽黑客是一个敏感领域,其主要目标是提升应用程序安全性,确保信任和透明度,而不会对供应商的业务运营构成威胁。然而,白帽黑客确实会进行一定程度的宣传,并且怀着被误导的野心,反而可以耸人听闻地吸引注意力,从而导致紧张局势。道德黑客必须及时披露他们的发现,并进行最低限度的概念验证,从而减轻对供应商业务的干扰。在 CertiK 成功进行概念验证后的四天内进行不请自来的渗透测试就是一个不该做的示例。显然,资金应该立即或在初次报告时退还给Kraken——如此大笔的款项不应该被提取。
从行业的角度来看,表现出团结并相互保护免受破坏性头条新闻或竞争的潜在伤害至关重要。由于需要抵御大量恶意黑客,我们正在改进我们的安全产品和程序,并不断推进开创性的解决方案。行业内的协作是关键,因为它可以交换重要和宝贵的信息,正如他们所说,安全是一场团队游戏。“好人”之间的信任是进步的基础,绝不应该是“我们反对他们”的情况。我们都以共同利益为目标,必须始终强调这一点。
作者 Shahar Madar 是 Fireblocks 的安全和信任副总裁。本文中分享的观点仅代表作者的观点,并不反映Cointelegraph的观点和意见。它仅供参考,不构成法律或投资建议。
Published At
6/28/2024 11:48:06 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.