作者:Haotian,独立研究员 来源:X,@tmel0211
其实,在明晰的法律责任定性出来之前,对“白帽”的职业操守和中心化交易所的漏洞披露机制以及漏洞悬赏机制的质疑,会有不同角度的声音。但,在安全圈这个问题一点都不“新鲜”:
1)一个规范的漏洞披露机制其实是安全公司乙方和客户甲方就发现漏洞、漏洞修复、漏洞赏金等问题进行协调的过程,之后才是大家看到的漏洞修复后再披露的皆大欢喜,Certik和Kraken很显然是协调过程出现了问题:
1、发现漏洞并及时向客户报告,描述漏洞的类型以及危害程度及如何复现;若“白帽”发现漏洞不披露,则直接就成了黑客性质,而既然选择了向客户披露,那说明主观意愿并非攻击;
2、确认漏洞并评估风险,安全公司和客户确认漏洞的存在,以及漏洞严重程度、影响范围以及修复方案设计等;这个过程会商定漏洞修复如何分工协作,漏洞赏金如何制定等,不然很容易出现,客户以漏洞为“已报告”漏洞为由,而拒付相应的漏洞赏金,可能会让白帽白忙活一场。
3、制定修复方案并复测确保漏洞成功修复;这个过程一般为客户开发团队和安全公司技术人员共同商定并统一实施代码修复,一般能推进到这一步说明双方已经就“漏洞危害等级和应付的漏洞赏金”达成一致,因此双方的一致目标就是及时修复漏洞,之后再发个新闻稿公示并披露漏洞,公开整个发现漏洞并联合修复的过程。
2)Certik这家安全公司究竟是有口皆碑还是有口皆谤,仅仅从道德上口诛笔伐很难有结果,在此不做评价。只一点,若安全公司常招惹是非,一定是牵扯的利益关系太过复杂且处理不得当招致的。
我和几个安全公司的朋友沟通了下,认为这事情的过程可能是:
1、Certik确实发现并向Kraken报告了漏洞,说明起心动念并非“黑客”行为,但发酵至今已经成为安全行业的一大丑闻,其背后的前因后果需要厘清楚;
2、标记为Certik工作人员KYC的账户只新增了4美元,说明漏洞测试一开始在合理界限内,之后无论何由都以双方的证据为准,但目前看,的确超出了职业操守边界;
3、双方在漏洞赏金和修复漏洞分工协作上估计没谈拢,有可能Kraken交易所以漏洞被报告理由拒绝给相应的赏金,因此Certik在修复期间处于“个人”报复也好,公司蓄意行为也罢,进行了更大规模“测试”;
这个过程存在多种扯皮的可能性,但本质上就是利益纠葛问题,Kraken中心化交易所的漏洞披露低效且不透明,Certik的安全漏洞介入程度缺乏规范和标准。
总结:以上仅为合理的推测,具体以进一步的结果披露为准,但安全白帽在提交Bug上所遭遇甲方中心化机构的“慢待”和中心化组织在漏洞披露和修复过程中的不透明流程问题才是双方出现“纠纷和摩擦”的关键。这才是大家应该关注的焦点问题。
这也是我之前发文赞赏@GoPlusSecurity构建开放、无需可、用户驱动模块化安全层的根本原因,纯中心化的安全纠纷存在各种暗箱可能性。而一套去中心化的安全服务解决方案才能在整个安全防护生命周期发挥作用(尤其是人为原因造成的不可控因素),虽然这条路道阻且长,但势在必行。
过去几年,安全审计服务从一单接一单的业务合作模式,这过程中出现的背书风波,审计后Rug丑闻,直到今天甲方和乙方之间的对掐都是源于安全服务存在的信息不透明和审计业务本身在信息敏感利害关系上的复杂性息息相关。希望安全行业能随着问题的曝光,能进一步有更规范的标准、更优化的流程、更专业的服务。
无论如何,某些安全公司地位可以被替代,但安全守护者的神圣形象不容垮塌。与此同时,安全白帽的贡献也应受到市场的尊重。
1 Pantera合伙人:一文看懂Orderly Network
作者:Paul Veradittakit,Pantera Capital合伙人;翻译:xiaozou1、背景Coinbase、Binance和Kraken等中心化交易所(CEX)作为加密货币交易员的首选而蓬勃发展,书写着我们这个行业的大部分历史。用户之所以被这些产品所吸引,主要是因为它们具有强大的流动性和引人注目的用户体验(UX)——这是去中心化交易所(DEX)应用程序众所周知的主要痛点。但是,如
模因币席卷了加密货币世界,Dogecoin和Shiba Inu引领潮流。随着模因币市场的发展,像PawFury(PAW)这样的新玩家正在崛起,他们拥有独特的价值主张和强大的预售表现。Meme币的演变——社区驱动的增长:Meme币在社区参与和社交媒体炒作中蓬勃发展,推动了其受欢迎程度和价值。效用和创新:一些模因币正在演变,以包括更多的效用和创新功能,超越了其最初的模因地位。市场波动性:Meme币以其
目录1。PawFury(PAW):长期前景2。Polkadot(DOT):互操作性领导者3。Uniswap(UNI):DeFi Giant 4。Aave(Aave):贷款创新者5。Theta(Theta):去中心化流媒体解决方案简介:对有前景的altcoins的长期投资可以带来可观的收益。以下是2024年长期投资需要考虑的五种替代币。PawFury(PAW):长期前景PavFury(PAG)凭借其
开幕影片:世界顶级TUBE×GACKT短片和流浪儿童短片 7个奖项将公布:日航新支持的U-25项目,首个数字货币奖的Amic Sign奖等 日本SHIBUYA WARD,2024年5月21日/PRNewswire/-奥斯卡奖®认可的亚洲最大的国际电影节之一,亚洲短片电影节(SSFF&Asia)2024将于6月4日(周二)在LINE CUBE SHIBUYA举行开幕式。 开幕放映TUBE×GAC
佛罗里达州奥兰多,2024年5月21日/PRNewswire/-领先的营运资金和支付管理解决方案提供商LSQ最近宣布与可持续能源解决方案领域的杰出领导者Ecobat建立战略供应链融资合作伙伴关系。这一合作标志着加强供应商健康和为Ecobat创造重要营运资金的关键时刻。 Ecobat决定与LSQ合作,反映了对卓越运营和财务弹性的共同承诺。通过利用LSQ在营运资金解决方案方面的专业知识,Ecobat为
6 随着Qubetics白名单几乎满负荷运行,以太坊速度减慢,雪崩停止!
在一个每个人都在谈论发展一致的收入流的世界里,你的目标是如何为退休后计划提供资金?你想投资房地产、股票还是加密货币?无论你做出什么决定,请记住,如果你想立即获得巨大的投资回报,你需要研究加密货币;潜力太大了!比特币的早期投资者就是一个完美的例子。当一个BTC以美分的价格出售时,他们进行了投资。现在,一个BTC的价格约为61000美元!你知道这能为你带来什么吗? 此外,这是投资的最佳时机,因为加密
对于鲜为人知的加密货币来说,一股重要的增长浪潮似乎即将到来。随着2024年的牛市正在进行,投资者热衷于确定哪些货币可能会引领财富的变化。这篇文章探讨了一系列可能表现强劲的加密货币,为那些旨在利用这一增长的人提供了见解。准备好了解在这个快速发展的市场中能够立即带来收益的有前景的选择。BlastUP预售达到600万美元,投资者在5月结束前匆忙购买$BLP正在进行的BlastUP的预售接近完成,因为它已
在过去的两周里,比特币的价值大幅下跌,引发了投资者的焦虑。美联储决定加息后,比特币价格从70000美元跌至58500美元,但此后已反弹至60000美元以上。这引出了一个有趣的问题:哪些加密货币最近在土耳其交易所交易最多? 内容隐藏1土耳其流行的加密货币2是什么推动了交易量?投资者的3个关键见解 土耳其流行的加密货币 尽管最近围绕模因币和人工智能代币掀起了热议,但USDT和BTC等
9 Radware是象限知识解决方案的2024 SPARK Matrix™DDoS抵御的领导者
象限知识解决方案SPARK Matrix™提供了对领先DDoS抵御供应商的竞争分析和排名。Radware凭借其全面的DDoS抵御技术,在技术卓越性和客户影响方面获得了很高的评价。 以色列特拉维夫,2024年5月21日/PRNewswire/-象限知识解决方案公司今天宣布,已连续第四年任命Radware为SPARK Matrix™的领导者:DDoS缓解,2024。 Quadrant知识解决方案分析师
10 2024年6月顶级加密货币预售:MoonBag以290万美元和88%的APY打破预售记录
为什么一些加密货币蓬勃发展,而另一些却步履蹒跚?不断变化的加密货币市场最近发生的事件突显了对创新和可靠加密货币的需求。随着索拉纳和波尔卡多面临重大挑战,MoonBag正成为一个强有力的竞争者,吸引着精明投资者的兴趣。 MoonBag推出了备受期待的预售,将以其独特的功能和诱人的机会彻底改变加密货币市场。与其他难以稳定的加密货币不同,MoonBag提供了可观的回报,使其成为投资者的首选。MoonB
