보안

Web3 취약점 보상 플랫폼 Immunefi가 화이트햇 보안 회사 Trust Security에 90일 간의 정지를 시행했습니다

ChainCatcher 메시지, Web3 취약점 보상 플랫폼 Immunefi가 화이트 해커 보안 회사 Trust Security에 대해 90일 간의 정지를 시행했습니다. 이 결정은 후자가 Immunefi가 취약점 보상을 불공정하게 거부했다고 주장한 후 내려졌으며, 이는 후자가 자금 도난을 초래할 수 있는 중요한 취약점을 발견했기 때문입니다.11월 12일, Trust Security는 X에서 그들의 보상 팀이 이름이 지정되지 않은 프로젝트의 포크 메인넷에서 중요한 자금 도난 취약점을 발견했다고 밝혔습니다. 해당 취약점의 개념 증명은 Immunefi와 공유되었으며, Immunefi는 화이트 해커와 프로젝트 간의 중개자로서 신뢰할 수 있는 취약점 식별에 대한 보상을 보장합니다.그러나 Immunefi는 Trust Security가 범위를 초과한 취약점을 감지했다고 주장했습니다. Trust는 Immunefi가 해당 프로젝트의 "터무니없는" 편에 서서 "미미한 선의의 보상"만 제공하고, 중요한 취약점 식별에 대한 전액 보상을 제공하지 않았다고 말했습니다.Immunefi는 Trust의 불공정 보상 주장에 반박하며 "현재 문제에 대한 잘못된 설명"을 이유로 90일 간의 정지 명령을 발부했습니다. Immunefi는 Trust가 다시 위반할 경우 영구적인 금지를 시행할 것이라고 밝혔습니다.

Safe는 블라인드 서명 보안 사건에 응답하여 다중 장치 서명을 권장합니다

ChainCatcher 메시지, Safe 팀은 Radiant Capital의 사후 보고서에서 언급된 보안 사건을 검토하였으며, Safe {Wallet} 프론트엔드 기능은 정상적으로 작동하지만 외부 장치가 서명 프로세스에서 손상되어 해커가 거래 데이터를 교체하고 서명자에게 악성 거래에 서명하도록 유도할 수 있음을 지적했습니다.Safe 팀은 이 사건이 사용자가 거래 세부 정보를 완전히 확인하지 않고 거래를 승인하는 블라인드 서명의 위험성을 강조한다고 생각합니다. 특히 하드웨어 지갑을 사용할 때 더욱 그렇습니다. 이 문제를 해결하기 위해 Safe는 다양한 공급업체의 여러 서명 장치(예: Ledger와 Trezor의 조합)를 사용하고, 이러한 장치를 신뢰할 수 있는 인터페이스를 통해 연결하여 거래의 가시성과 보안을 향상시킬 것을 제안했습니다.또한, Safe는 보안을 희생하지 않고 더 많은 맥락 정보를 제공하기 위해 조건부 서명과 같은 기술을 탐색하고 있습니다. Safe 팀은 사용자들이 하드웨어 지갑과 인터페이스에 표시된 해시를 확인할 수 있도록 Ledger 해시를 직접 계산하는 것을 인터페이스에 포함하는 방안을 고려하고 있습니다. Safe 팀은 생태계의 모든 이해관계자가 블라인드 서명 문제를 해결하기 위해 협력해야 하며, 거래 및 메시지 서명 프로세스를 개선하기 위해 하드웨어 지갑 공급업체 및 커뮤니티와 협력할 것을 약속했습니다.
체인캐처 혁신가들과 함께하는 Web3 세상 구축