Kraken
Security Labs
Kraken 是最安全的小工具,因為安全是我們的核心理念——事實上,我們擁有多支世界級團隊,專門負責測試我們的產品和服務。
然而,無論我們的安全性有多高,我們深知自身的成功與整個入帳社群的成功息息相關。
Kraken
Security Labs
因此,我們成立了Kraken Security Labs——一支頂尖的安全研究團隊,致力於透過以下方式保護並推動入帳生態系統的發展:
測試常見的第三方產品和服務
與供應商合作修復相關問題
告知公眾保護自己的最佳方法
負責任理財自動申購的承諾
當安全研究人員發現漏洞時,最佳做法是聯絡相關供應商,讓供應商修復問題。
這在理論上看似簡單,但在實踐中往往會遇到不少問題:
如果受影響的供應商沒有回應怎麼辦?
供應商可能不願意承認問題,又或者他們沒有設立到期計劃。
應給予供應商多長時間來修復問題?
部分安全問題並非容易修復,而供應商往往傾向優先開發新交易,而非修復現有問題。
研究人員應否向公眾披露漏洞?若然,應在何時披露?
每位白帽黑客都會擔心自己發現的漏洞早已為人所知,並正被不法分子利用。供應商每遲一刻發佈修復方案,公眾便多一刻被蒙在鼓裡,無法掌握自我保護的知識。公開披露是研究人員向供應商施壓,促使其修復漏洞的唯一籌碼。
簡而言之,負責任地披露漏洞對每個人而言意義不盡相同——要在供應商和用戶的需求之間取得平衡,本身就極具挑戰。
我們堅信,像我們這樣的研究團隊與供應商合作修復產品問題,並向公眾披露相關資訊,是至關重要的。
為實現這一目標,Kraken Security Labs 已披露各類加密貨幣產品與服務的問題,並與供應商合作進行修復。我們的漏洞披露政策詳情已發佈於此處。
加密貨幣硬件錢包
我們認為,您不宜將所有資金存放在任何一間交易所,包括 Kraken 在內。
因此,我們定期購買並測試能讓客戶自行儲存與託管其加密資產的產品。
我們已就以下產品發佈問題報告及安全建議:
加密貨幣服務
Kraken 鼓勵所有客戶,在決定將資金或數據託付給任何加密貨幣服務前,先行測試與驗證該服務。
我們已就以下服務發佈問題報告及安全建議:
我們的披露理念
聽到關於 Kraken Security Labs 披露報告的不同說法?
供應商與研究人員對問題嚴重程度持不同意見,這其實十分常見。
簡而言之,研究人員希望其工作產生最大影響,而供應商通常傾向於淡化問題的嚴重程度。
解讀嚴重程度
安全漏洞的嚴重程度通常介乎低至嚴重之間,但 Kraken Security Labs 或其他研究人員所披露的漏洞,並非全部均屬「嚴重」級別。
儘管如此,我們認為揭露這些缺陷至關重要。
即使只有數個嚴重程度為低、中、高的漏洞,攻擊者亦可能將其配合利用,對目標裝置造成重大影響。
累積效益
發佈這些研究成果有助於推動更多相關工作。
安全研究人員在他人的研究基礎上深入探索是常見的做法,他們會發佈一些雖未導致完全入侵但仍應修復的問題,也會發佈供應商未必認為值得立即修復的研究成果。
因此,安全研究人員不應僅因未發現「嚴重」級別的漏洞而選擇沉默——這並非負責任的做法。
我們致力於向公眾發佈盡可能清晰透明的披露報告,讓您能夠根據問題的嚴重程度作出明智的判斷。
攜手共建更強大的行業
不僅 Kraken 如此認為——當研究團隊與供應商攜手合作時,整個行業會更強大、更安全。
從以下推薦語中可以看到,Kraken Security Labs 的理念與加密貨幣行業的價值觀和需求一致。
我們很高興看到 Kraken Security Labs 投入資源,致力提升整個 Bitcoin 生態系統的安全性。我們非常珍視這種負責任的披露與合作精神。
CoolBitX 衷心感謝 Kraken Security Labs 團隊對 CoolWallet S 安全流程的韌性進行如此深入的審查。他們就潛在攻擊途徑和裝置漏洞提供了全新且專業的見解,對我們的團隊和所服務的社群而言彌足珍貴。
我們也想藉此機會感謝 Kraken 出色的工作。我們非常認同他們與我們 Ledger Donjon 團隊相同的立場:共同為提升整個加密貨幣行業的安全性出一分力。