白帽黑客或道德黑客是网络安全的重要组成部分。通过黑客行为,"好人 "可以剖析应用程序,向供应商报告安全漏洞,并利用这些信息改善生态系统的安全状况。

这并不是区块链的独特概念。它存在于云计算、人工智能、操作系统安全等领域。不过,在所有情况下,供应商和安全研究人员都建立了一种微妙但强大的关系,这种关系建立在 信任的平衡基础上。

在区块链领域,Trail of Bits、Halborn 和 Open Zeppelin 等审计机构多年来一直在分析和修复各种智能合约,并以最专业的态度开展业务,建立了强大的信任感。

CertiK 与 Kraken 之争

5 月 17 日,CertiK 的研究人员发现 Kraken 的数字资产交易所余额计算和存款机制存在漏洞。Kraken 安全团队正确地将其定义为关键问题,并报告该问题已在 47 分钟内得到解决。

虽然一开始看起来很无辜,但这种漏洞允许攻击者 "双重消费",也就是说,他们有能力伪造存款到交易所。一旦他们在交易所的余额错误地更新,他们就会转过身来提取同样的金额。这种行为会从交易所的主资金钱包(大多数集中式交易所都用它来管理托管资金,类似于银行)中移除资金。

CertiK 还公布了虚假存款交易清单,在五天时间里至少利用漏洞 20 次,同时声称他们只是在测试 Kraken 的检测机制。

在获得可行的概念验证后,CertiK 的研究人员本应该立即向 Kraken 报告这一问题,并停止对该漏洞的进一步利用。尽管如此,自事件发生以来,在所谓的 "测试 "过程中套取的所有资金都已归还 Kraken,只有少量费用损失。

道德黑客框架

白帽黑客是很微妙的。

其目的是加强应用程序的安全性,确保信任和透明度,同时不损害供应商的业务。

然而,一个基本的事实是,白帽黑客往往受公关驱动,在动机错误的情况下,会以最大胆的标题为目标。例如,"CertiK 神不知鬼不觉地从 Kraken 偷走了 300 万美元 "比 "研究人员在 Kraken 中发现了一个关键漏洞,挽救了数百万美元 "更吸引人。

这就是紧张局势的起因。人们希望道德研究人员尽快报告他们的发现,并进行最精简的概念验证,以避免中断供应商的业务。唯一的例外是供应商邀请研究人员进行渗透测试,在这种情况下,双方会就测试范围和行为准则达成一致。

遗憾的是,这里的情况并非如此,因为在 CertiK 成功进行概念验证后,"主动 "渗透测试持续了四天。CertiK 本应在首次报告之前或当时退还资金。如此巨额的资金本不应该从 Kraken 或任何其他交易所的金库中提取。

信任之所在

作为一个行业,我们应该团结一致,互相照顾,不管一个破坏性的头条新闻会给竞争企业带来多大的关注。

我们的行业面临着大量不良黑客的攻击。幸运的是,即使出现了这样令人失望的事态发展,我们仍在不断改进安全产品和实践,同时创新也在稳步向前。行业间的合作,即竞争对手之间分享亲密而有价值的信息,是至关重要的,因为归根结底,安全是一项团队运动。

只有所有 "好人 "之间相互信任,我们的行业才能向前发展。事实上,这不应该是 "我们 "与 "他们 "的对立--我们都在为共同的利益而努力,我们必须首先牢记这一点。

Shahar Madar 是 Fireblocks 安全与信任产品副总裁。他擅长针对大型企业和知名品牌的需求构建安全、身份、合规和治理解决方案。他还是 Crypto ISAC 的副主席,该组织是一个非营利性协会,致力于推动整个加密生态系统的安全计划。