Kraken
安全实验室
Kraken是安全性领先的数字资产交易平台,因为安全是我们的核心基因——我们拥有多支世界级团队,专注于测试我们的产品和服务。
然而,无论我们多么安全,我们都要时刻谨记,我们的成功与加密货币社区中其他人的成功息息相关。
Kraken
安全实验室
这就是我们创建 Kraken 安全实验室的原因,该实验室是一支由安全研究者组成的精英团队,旨在通过以下方式保护和发展加密货币生态系统:
测试常见的第三方产品和服务
与供应商合作解决这些问题
告知公众实现自我保护的最佳方式
承诺以负责任的方式披露信息
当安全研究者发现漏洞时,最佳做法是联系供应商,以便供应商解决问题。
虽然理论上很简单,但在实际操作中可能会出现很多问题:
如果受影响的供应商没有回应怎么办?
也许供应商不想承认此问题,或者他们没有漏洞报告奖励计划。
应给供应商多长时间来解决问题?
一些安全问题很不容易解决,而供应商往往希望优先考虑新功能,而不是解决这些问题。
研究人员是否应该向公众披露问题,如果是这样的话,应在何时披露?
每名白帽黑客都担心他们发现的问题已经被坏人知晓并加以利用。在供应商尚未发布修复程序的时间里,公众对此全然不知,甚至缺乏自我保护的知识。公开披露是研究者向供应商施压以解决问题的唯一手段。
简而言之,负责任地披露漏洞对每个人而言含义不同——在供应商和用户的需求之间取得平衡,本身就是一件困难的事。
我们坚信,像我们这样的研究团队必须与供应商携手合作,全力解决其产品中的问题并向公众披露相关情况。
为了实现这一目标,Kraken 安全实验室已经披露了大量的加密货币产品和服务问题,并与供应商合作解决了这些问题。我们的漏洞披露政策详情已发布在此处。
加密货币硬件钱包
我们认为,您不宜将所有资金存放在任何一家交易平台上,包括Kraken。
因此,我们定期购买和测试能够帮助用户存储和自主托管加密资产的产品。
我们发布了以下产品的问题和建议:
加密货币服务
在 Kraken,我们鼓励所有客户测试并验证他们可能决定信任的任何加密货币服务,以确保他们的资金或数据安全。
我们已针对以下服务发布了相关问题和安全建议:
我们的披露理念
听到有关Kraken Security Labs披露内容的不同声音?
请注意,供应商和研究人员对漏洞严重程度存在分歧是常见现象。
简单来说,研究人员希望自己的工作产生更大影响,而供应商通常倾向于淡化问题的严重程度。
解释严重程度
安全漏洞的严重等级通常从低到严重不等,但并非Kraken Security Labs或其他研究人员披露的所有漏洞都属于“严重”级别。
尽管如此,我们仍然认为暴露这些缺陷至关重要。
即使是少量的低危、中危和高危漏洞,攻击者也可能通过协调的方式加以利用,从而对目标设备造成重大影响。
复合效益
公开这些研究成果可以推动更多后续工作。
安全研究人员在前人工作的基础上深入研究是常见的做法,他们会发布那些虽未导致完全入侵但仍应修复的问题,也会发布供应商认为暂时不值得修复的研究成果。
因此,安全研究人员不应仅因未发现“严重”级别的漏洞就选择沉默——这并不是负责任的做法。
我们力求向公众披露尽可能易于理解且透明的信息,以便您能够就问题的严重程度做出明智的选择。
携手打造更强大的行业
不止Kraken认为,研究团队与供应商携手合作能让整个行业更加强大和安全。
您可以从下面的评价中了解到,Kraken 安全实验室符合加密货币行业的价值观和需求。
我们很高兴 Kraken 安全实验室能够投入资源,改善整个比特币生态系统的安全保障。我们十分珍惜这种负责任的披露与合作。
CoolBitX 向 Kraken 安全实验室团队致以最诚挚的谢意,感谢他们对 CoolWallet S 安全流程的弹性机制进行了如此细致的检查。对于我们的团队和我们所服务的社区来说,针对可能的攻击载体和设备漏洞提出这种全新专业视角的价值简直无法衡量。
我们还想借此机会感谢 Kraken 的卓越工作。我们非常感谢他们采取与我们自己的 Ledger Donjon 团队类似的立场:为改善整个加密货币行业的安全保障而尽自己的一份力量。