• El hacking de sombrero blanco es un componente crucial de la ciberseguridad, pero puede generar controversia, como se ilustró recientemente en la disputa de CertiK con Kraken.

El hacking de sombrero blanco, o hacking ético, es un componente crucial de la ciberseguridad. Es la piratería lo que permite a los "buenos" analizar aplicaciones, informar vulnerabilidades de seguridad a los proveedores y utilizar la información para mejorar la postura de seguridad del ecosistema. 

Este no es un concepto único en blockchain. existe en lugares que incluyen la nube, la inteligencia artificial, la seguridad del sistema operativo y más. 

Sin embargo, en todos los casos, los proveedores y los investigadores de seguridad han creado una relación delicada pero poderosa basada en el acto de equilibrio de la confianza.

En el espacio blockchain, auditores como Trail of Bits, Halborn y Open Zeppelin han estado analizando y reparando varios contratos inteligentes durante años y han operado con la máxima profesionalidad, generando un fuerte sentido de confianza.

La disputa entre CertiK y Kraken

El 17 de mayo, investigadores de CertiK descubrieron una vulnerabilidad en el cálculo del saldo y el mecanismo de depósito del Digital Asset Exchange de Kraken. 

CertiK identificó recientemente una serie de vulnerabilidades críticas en el intercambio @krakenfx que podrían generar pérdidas de cientos de millones de dólares.

A partir de un hallazgo en el sistema de depósito de @krakenfx donde puede no diferenciar entre diferentes internos… pic.twitter.com/JZkMXj2ZCD

– CertiK (@CertiK) 19 de junio de 2024

El equipo de seguridad de Kraken definió correctamente esto como un problema crítico e informó que se resolvió en 47 minutos.

Aunque parezca inocente al principio, este tipo de vulnerabilidad permite a los atacantes realizar un "gasto doble", lo que significa que tienen la capacidad de falsificar un depósito en el intercambio. 

Una vez que su saldo en el intercambio se actualiza por error, se dan la vuelta y retiran la misma cantidad. 

Esta ley elimina dinero de la billetera de tesorería principal del intercambio (que es lo que la mayoría de los intercambios centralizados utilizan para administrar fondos de custodia, de manera similar a los bancos).

CertiK también publicó la lista de transacciones de depósito falsas, explotando la vulnerabilidad al menos 20 veces durante cinco días, mientras afirmaba que solo estaban probando los mecanismos de detección de Kraken.

Después de tener una prueba de concepto funcional, los investigadores de CertiK deberían haber informado el problema inmediatamente a Kraken y detener cualquier explotación adicional de la vulnerabilidad. 

No obstante, desde el incidente, todos los fondos tomados durante esta llamada "prueba" fueron devueltos a Kraken, excepto una pequeña cantidad que se perdió en tarifas.

Un marco para el hacking ético

El hacking de sombrero blanco es delicado.

El objetivo es mejorar la seguridad de las aplicaciones, garantizando la confianza y la transparencia sin poner en peligro el negocio del proveedor.

Sin embargo, la verdad subyacente es que los hackers de sombrero blanco a menudo se guían por las relaciones públicas y, con motivos equivocados, buscarán el titular más audaz. 

Por ejemplo, "CertiK logró sacar 3 millones de dólares de Kraken sin que nadie se diera cuenta" es un titular mucho más intrigante que "Los investigadores encontraron un error crítico en Kraken y ahorraron millones de dólares".

Aquí es donde la tensión aumenta. Se espera que los investigadores éticos informen sus hallazgos lo antes posible y tengan la prueba de concepto más sencilla para que el negocio del proveedor no se vea afectado. 

La única excepción es cuando el proveedor invita a los investigadores a realizar pruebas de penetración, en cuyo caso habrían acordado el alcance de las pruebas y el código de conducta.

Desafortunadamente, este no fue el caso aquí, ya que las pruebas de penetración "no solicitadas" continuaron durante cuatro días después de que CertiK realizara una prueba de concepto exitosa. 

CertiK debería haber devuelto los fondos antes o en el momento del informe inicial. Nunca debería haberse tomado una cantidad tan grande de fondos de la tesorería de Kraken ni de ningún otro intercambio.

Donde la confianza encuentra un lugar

Como industria, debemos permanecer unidos y cuidarnos unos a otros, sin importar la atención que un titular perjudicial atraiga a un negocio competidor.

Nuestra industria se enfrenta a un gran número de hackers malos contra los que luchar. Afortunadamente, incluso después de desarrollos decepcionantes como este, continuamos mejorando los productos y prácticas de seguridad, mientras la innovación avanza constantemente. 

La colaboración del lado de la industria, donde se comparte información íntima y valiosa entre competidores, es crucial porque, al final, la seguridad es un deporte de equipo.

Sólo podemos avanzar como industria si hay confianza entre todos los "buenos". De hecho, no debería ser “nosotros” contra “ellos”: todos trabajamos por un bien común y debemos tenerlo en cuenta ante todo.