如何评价 CertiK 与 Kraken 之间的漏洞纠纷?

Haotian热度: 8634

本文总结了火星财经整理的推特内容,讨论了白帽的职业操守和中心化交易所的漏洞披露机制及悬赏机制的质疑。安全圈存在问题,需要规范的漏洞披露机制来协调双方利益。Certik和Kraken之间的纠纷可能是因为在漏洞赏金和修复方案上的分歧。安全白帽的贡献应得到尊重,安全行业也需要更规范的标准、流程和专业服务。

摘要由 Mars AI 生成
本摘要由 Mars AI 模型生成,其生成内容的准确性、完整性还处于迭代更新阶段。

原文作者:Haotian

原文来源:twitter

注:本文来自@tmel0211 推特,火星财经整理如下:

其实,在明晰的法律责任定性出来之前,对“白帽”的职业操守和中心化交易所的漏洞披露机制以及漏洞悬赏机制的质疑,会有不同角度的声音。但,在安全圈这个问题一点都不“新鲜”:

1)一个规范的漏洞披露机制其实是安全公司乙方和客户甲方就发现漏洞、漏洞修复、漏洞赏金等问题进行协调的过程,之后才是大家看到的漏洞修复后再披露的皆大欢喜,Certik和Kraken很显然是协调过程出现了问题

1、发现漏洞并及时向客户报告,描述漏洞的类型以及危害程度及如何复现;若“白帽”发现漏洞不披露,则直接就成了黑客性质,而既然选择了向客户披露,那说明主观意愿并非攻击;

2、确认漏洞并评估风险,安全公司和客户确认漏洞的存在,以及漏洞严重程度、影响范围以及修复方案设计等;这个过程会商定漏洞修复如何分工协作,漏洞赏金如何制定等,不然很容易出现,客户以漏洞为“已报告”漏洞为由,而拒付相应的漏洞赏金,可能会让白帽白忙活一场。

3、制定修复方案并复测确保漏洞成功修复;这个过程一般为客户开发团队和安全公司技术人员共同商定并统一实施代码修复,一般能推进到这一步说明双方已经就“漏洞危害等级和应付的漏洞赏金”达成一致,因此双方的一致目标就是及时修复漏洞,之后再发个新闻稿公示并披露漏洞,公开整个发现漏洞并联合修复的过程。

2)Certik这家安全公司究竟是有口皆碑还是有口皆谤,仅仅从道德上口诛笔伐很难有结果,在此不做评价。只一点,若安全公司常招惹是非,一定是牵扯的利益关系太过复杂且处理不得当招致的。

我和几个安全公司的朋友沟通了下,认为这事情的过程可能是:

1、Certik确实发现并向Kraken报告了漏洞,说明起心动念并非“黑客”行为,但发酵至今已经成为安全行业的一大丑闻,其背后的前因后果需要厘清楚;

2、标记为Certik工作人员KYC的账户只新增了4美元,说明漏洞测试一开始在合理界限内,之后无论何由都以双方的证据为准,但目前看,的确超出了职业操守边界;

3、双方在漏洞赏金和修复漏洞分工协作上估计没谈拢,有可能Kraken交易所以漏洞被报告理由拒绝给相应的赏金,因此Certik在修复期间处于“个人”报复也好,公司蓄意行为也罢,进行了更大规模“测试”;

这个过程存在多种扯皮的可能性,但本质上就是利益纠葛问题,Kraken中心化交易所的漏洞披露低效且不透明,Certik的安全漏洞介入程度缺乏规范和标准。

总结:以上仅为合理的推测,具体以进一步的结果披露为准,但安全白帽在提交Bug上所遭遇甲方中心化机构的“慢待”和中心化组织在漏洞披露和修复过程中的不透明流程问题才是双方出现“纠纷和摩擦”的关键。这才是大家应该关注的焦点问题。

这也是我之前发文赞赏 @GoPlusSecurity 构建开放、无需可、用户驱动模块化安全层的根本原因,纯中心化的安全纠纷存在各种暗箱可能性。而一套去中心化的安全服务解决方案才能在整个安全防护生命周期发挥作用(尤其是人为原因造成的不可控因素),虽然这条路道阻且长,但势在必行。

过去几年,安全审计服务从一单接一单的业务合作模式,这过程中出现的背书风波,审计后Rug丑闻,直到今天甲方和乙方之间的对掐都是源于安全服务存在的信息不透明和审计业务本身在信息敏感利害关系上的复杂性息息相关。希望安全行业能随着问题的曝光,能进一步有更规范的标准、更优化的流程、更专业的服务。

无论如何,某些安全公司地位可以被替代,但安全守护者的神圣形象不容垮塌。与此同时,安全白帽的贡献也应受到市场的尊重。

声明:本文为入驻“MarsBit 专栏”作者作品,不代表MarsBit官方立场。
转载请联系网页底部:内容合作栏目,邮件进行授权。授权后转载时请注明出处、作者和本文链接。未经许可擅自转载本站文章,将追究相关法律责任,侵权必究。
提示:投资有风险,入市须谨慎,本资讯不作为投资理财建议。
免责声明:本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况,及遵守所在国家和地区的相关法律法规。