La agitación en la industria de la criptografía es realmente emocionante. No, la ruptura del unicornio de seguridad de cifrado CertiK y el súper intercambio estadounidense Kraken ha convertido al autor en un campo de melones.

La historia es más o menos así: CertiK descubrió una vulnerabilidad grave durante sus pruebas de seguridad, que implicaba la posibilidad de aumentar artificialmente el saldo de una cuenta de comercio de criptomonedas en la plataforma Kraken, y esperaba alcanzar el umbral de alarma de Kraken a través de las pruebas. Sin embargo, Kraken afirmó que el comportamiento de CertiK iba más allá del alcance de la investigación de seguridad general y era sospechoso de aprovechar las vulnerabilidades, por lo que acusó a CertiK de chantaje.

Según CertiK, sus pruebas revelaron múltiples vulnerabilidades de seguridad en los sistemas Kraken que podrían provocar pérdidas de cientos de millones de dólares si no se corrigen. CertiK enfatizó que sus acciones fueron para fortalecer la seguridad de la red y proteger los intereses de todos los usuarios, y reveló el cronograma completo de las pruebas y las direcciones de depósito relacionadas para demostrar su transparencia e integridad.

Kraken y su CSO Nick Percoco enfatizaron a través de las redes sociales y declaraciones públicas que su programa de recompensas por errores tiene reglas claras y requiere que todos los investigadores que descubran vulnerabilidades cumplan con estas reglas. Kraken también afirmó que el comportamiento de CertiK ha constituido una amenaza directa a la seguridad de su plataforma y ha informado del incidente a las fuerzas del orden.

Esta confrontación no sólo involucra cuestiones técnicas y de seguridad, sino que también toca límites legales y éticos, especialmente en lo que respecta a los límites y responsabilidades de las actividades de piratería de sombrero blanco. Esto proporciona un rico trasfondo y una base para la discusión para que el abogado Mankiw pueda discutir más a fondo las dimensiones legales de los hackers de sombrero blanco.

¿Son legales los hackers de sombrero blanco?

Estrictamente hablando, el comportamiento de los hackers de sombrero blanco es muy similar a la intrusión ilegal en sistemas informáticos. Pero en la mayoría de los casos, los hackers de sombrero blanco no recibirán una evaluación legal por sus delitos. Porque el propósito y el proceso de comportamiento de los hackers de sombrero blanco son esencialmente diferentes de las actividades ilegales y criminales.

Los piratas informáticos de sombrero blanco en la cadena ayudan a las empresas y organizaciones a construir un entorno de red más seguro al descubrir y parchear vulnerabilidades, mejorando así la confiabilidad y credibilidad de la red y haciendo contribuciones positivas a la seguridad y estabilidad de toda la cadena.

¿El acto de recolectar recompensas afectará la evaluación de los hackers de sombrero blanco? Como mecanismo de incentivo eficaz, la remuneración puede atraer más talentos para invertir en el campo de la seguridad de redes, mejorando así la seguridad de toda la industria. Al mismo tiempo, es una forma rentable de reparar las vulnerabilidades de las empresas y organizaciones. También puede establecer una imagen de empresas que se toman en serio la ciberseguridad. Por lo tanto, generalmente es una convención de la industria que los hackers de sombrero blanco cobren tarifas razonables.

Esta vez, ¿CertiK es un hacker de sombrero blanco?

En la disputa entre CertiK y Kraken, una de las cuestiones centrales es el límite de comportamiento de CertiK. Las acciones de CertiK, específicamente la motivación y la legalidad de transferir $3 millones en fondos a billeteras externas, se convirtieron en un foco de debate.

El comportamiento no es transparente.

CertiK es una empresa de seguridad con la que Kraken coopera y, sabiendo que Kraken tiene un programa de recompensas por vulnerabilidades de seguridad, puede garantizar que se obtenga la autorización suficiente antes de comenzar las pruebas. Al mismo tiempo, según las revelaciones de la comunidad y Kraken, cuando CertiK informó la vulnerabilidad, no mencionó el monto de la transferencia específica. En cambio, después de que Kraken emitió un "reembolso de $ 3 millones", reveló sus "todas las direcciones de prueba". demostrar que no había transferido el importe cobrado.

La transferencia de fondos es un hecho.

Según declaraciones de Kraken y el detective en cadena @0xBoboShanti, los investigadores de seguridad de CertiK realizaron detecciones y pruebas ya el 27 de mayo, lo que contradice la cronología de eventos de CertiK. Al mismo tiempo, en las pruebas de vulnerabilidad posteriores, aunque CertiK afirmó que la operación era para probar si el sistema de alarma de Kraken podía activarse a tiempo, en la operación real, este tipo de prueba no solo se limitó a descubrir vulnerabilidades, CertiK también se transfirió a dirección de billetera independiente. Este comportamiento está fuera del alcance de las pruebas de seguridad habituales. Según las revelaciones, CertiK realizó anteriormente la misma operación en múltiples intercambios y también usó Tornado Cash para transferir activos y ChangeNOW para vender.

Lo más probable es que las dos situaciones anteriores hayan excedido los límites de comportamiento de los hackers de sombrero blanco.

La definición legal es clave

Desde una perspectiva legal, las acciones de los hackers de sombrero blanco generalmente se consideran legales, pero sólo si cumplen ciertas normas y condiciones.

En los Estados Unidos, las leyes estrechamente relacionadas con las actividades de piratería informática incluyen principalmente la Ley de Abuso y Fraude Informático (CFAA). Según la CFAA, cualquier acceso no autorizado o acceso no autorizado a una computadora protegida puede constituir un delito. Para los hackers de sombrero blanco, sus acciones generalmente deben llevarse a cabo dentro del alcance de una autorización explícita; de lo contrario, pueden violar la CFAA incluso con fines de pruebas de seguridad. Además, con el desarrollo de la tecnología, algunas regiones han ido formando gradualmente regulaciones más específicas para guiar y proteger el comportamiento de los piratas informáticos de sombrero blanco.

En China, la Ley de Ciberseguridad también aclara los requisitos generales para fortalecer la protección de la seguridad de la red y fortalecer la gestión del ciberespacio. Esto significa que las intrusiones en la red, incluso con fines de prueba de seguridad, pueden considerarse ilegales; al mismo tiempo, las leyes de seguridad enfatizan la protección de los datos personales y la privacidad; Cualquier operación que involucre datos personales en las pruebas de red debe garantizar que no se viole la seguridad y privacidad de los datos luego de descubrir una vulnerabilidad de seguridad, es responsabilidad informarlo oportunamente a la agencia de gestión de seguridad de la red y al operador de red afectado; . Este mecanismo de informes está diseñado para parchear rápidamente las vulnerabilidades y evitar que se abuse de ellas.

Sin embargo, en la industria Web 3.0, algunas pruebas de piratas informáticos de sombrero blanco también implican la transferencia de fondos, pero generalmente con el permiso tácito del proyecto (por ejemplo, el proyecto tiene subvenciones relacionadas), o mediante la transferencia de fondos cifrados a una billetera independiente específica. (Sin más acciones), luego informe la vulnerabilidad y obtenga recompensas de la parte del proyecto. Este también es un comportamiento bien establecido en la industria.

Sin embargo, en el caso de CertiK, la transferencia real de fondos y, especialmente, las operaciones posteriores plantearon complicaciones legales. Por un lado, si CertiK transfirió fondos por motivos de interés propio; por otro lado, CertiK no cumplió con los requisitos claros de Kraken para los hackers de sombrero blanco, pero por otro lado demostró la misma vulnerabilidad al transferir fondos; , su uso posterior de operaciones de fondos transferidos puede considerarse como obtención de beneficios ilegales. Además, el manejo posterior a la acción de CertiK, incluida la comunicación y coordinación con Kraken, también afectará la evaluación legal de sus acciones.

Conclusión y reflexión

Aunque la disputa entre Kraken y CertiK es enteramente una cuestión legal estadounidense, al abogado de Mankiw le resulta difícil expresar sus puntos de vista según la ley estadounidense. Pero suponiendo que ocurriera bajo la ley china, el comportamiento de CertiK podría no escapar a los cargos de extorsión e intrusión ilegal en sistemas informáticos.

De hecho, los hackers de sombrero blanco también pueden "volverse negros" en determinadas circunstancias. Incluso si la intención original es mejorar la seguridad del sistema, si realizan pruebas sin la autorización adecuada o explotan las vulnerabilidades descubiertas para beneficio privado, estas acciones se han desviado de los estándares legales y éticos de los hackers de sombrero blanco. Como lo demuestran los incidentes de CertiK y Kraken, las transferencias de fondos no autorizadas, especialmente cuando se trata de grandes sumas de dinero, pueden considerarse un comportamiento de sombrero negro incluso con fines de prueba.