La tourmente dans l’industrie de la cryptographie est vraiment passionnante. Non, la dissolution de la licorne de sécurité cryptographique CertiK et du super échange américain Kraken a transformé l'auteur en champ de melon.

L'histoire ressemble à ceci : CertiK a découvert une grave vulnérabilité lors de ses tests de sécurité, impliquant la possibilité d'augmenter artificiellement le solde d'un compte de trading crypto sur la plateforme Kraken, et espérait atteindre le seuil d'alarme de Kraken grâce aux tests. Cependant, Kraken a déclaré que le comportement de CertiK dépassait le cadre de la recherche générale sur la sécurité et était soupçonné de profiter de vulnérabilités, et a donc accusé CertiK de chantage.

Selon CertiK, leurs tests ont révélé plusieurs vulnérabilités de sécurité dans les systèmes Kraken qui pourraient entraîner des centaines de millions de dollars de pertes si elles ne sont pas corrigées. CertiK a souligné que ses actions visaient à renforcer la sécurité du réseau et à protéger les intérêts de tous les utilisateurs, et a divulgué le calendrier complet des tests et les adresses de dépôt associées pour prouver leur transparence et leur intégrité.

Kraken et son CSO Nick Percoco ont souligné à travers les médias sociaux et les déclarations publiques que leur programme de bug bounty a des règles claires et exige que tous les chercheurs qui découvrent des vulnérabilités respectent ces règles. Kraken a également déclaré que le comportement de CertiK constituait une menace directe pour la sécurité de sa plateforme et a signalé l'incident aux forces de l'ordre.

Cette confrontation implique non seulement des questions techniques et de sécurité, mais touche également des limites juridiques et éthiques, notamment en ce qui concerne les limites et les responsabilités des activités de piratage informatique. Cela fournit un contexte riche et une base de discussion à l’avocat Mankiw pour discuter plus en détail des dimensions juridiques des pirates informatiques.

Les hackers au chapeau blanc sont-ils légaux ?

À proprement parler, le comportement des pirates informatiques est très similaire à une intrusion illégale dans les systèmes informatiques. Mais dans la plupart des cas, les pirates informatiques ne bénéficieront pas d’une évaluation juridique pour leurs crimes. Parce que le but et le comportement des hackers au chapeau blanc sont fondamentalement différents des activités illégales et criminelles.

Les pirates informatiques de la chaîne aident les entreprises et les organisations à créer un environnement réseau plus sécurisé en découvrant et en corrigeant les vulnérabilités, améliorant ainsi la fiabilité et la crédibilité du réseau et apportant une contribution positive à la sécurité et à la stabilité de l'ensemble de la chaîne.

Le fait de collecter des récompenses affectera-t-il l’évaluation des hackers au chapeau blanc ? En tant que mécanisme d'incitation efficace, la rémunération peut inciter davantage de talents à investir dans le domaine de la sécurité des réseaux, améliorant ainsi la sécurité de l'ensemble du secteur. En même temps, elle constitue un moyen rentable de réparer les vulnérabilités des entreprises et des organisations. cela peut également établir une image d’entreprises prenant la cybersécurité au sérieux. Par conséquent, il est généralement courant dans l’industrie que les pirates informatiques facturent des frais raisonnables.

Cette fois, CertiK est-il un hacker au chapeau blanc ?

Dans le différend entre CertiK et Kraken, l’une des questions centrales est la limite comportementale de CertiK. Les actions de CertiK, en particulier la motivation et la légalité du transfert de 3 millions de dollars de fonds vers des portefeuilles externes, sont devenues un sujet de débat.

Le comportement n'est pas transparent

CertiK est une société de sécurité avec laquelle Kraken coopère, et sachant que Kraken dispose d'un programme de primes pour les vulnérabilités de sécurité, elle peut garantir qu'une autorisation suffisante est obtenue avant de commencer les tests. Dans le même temps, selon les révélations de la communauté et de Kraken, lorsque CertiK a signalé la vulnérabilité, il n'a pas mentionné le montant spécifique du transfert. Au lieu de cela, après que Kraken a émis un « remboursement de 3 millions de dollars », il a divulgué ses « toutes les adresses de test ». prouver qu'il n'a pas transféré Kraken. Montant facturé.

Le transfert de fonds est un fait

Selon les déclarations de Kraken et du détective en chaîne @0xBoboShanti, les chercheurs en sécurité de CertiK ont effectué des détections et des tests dès le 27 mai, ce qui contredit la chronologie des événements de CertiK. Dans le même temps, lors des tests de vulnérabilité ultérieurs, bien que CertiK ait affirmé que l'opération visait à tester si le système d'alarme de Kraken pouvait être déclenché à temps, en fonctionnement réel, ce type de test ne s'est pas seulement arrêté à la découverte de vulnérabilités, CertiK a également transféré à adresse de portefeuille indépendante. Ce comportement sort du cadre des tests de sécurité réguliers. Selon les informations divulguées, CertiK a déjà effectué la même opération sur plusieurs bourses et a également utilisé Tornado Cash pour transférer des actifs et ChangeNOW pour les vendre.

Les deux situations ci-dessus ont très probablement dépassé les limites comportementales des pirates informatiques.

La définition juridique est essentielle

D’un point de vue juridique, les actions des hackers au chapeau blanc sont généralement considérées comme légales, mais seulement si elles répondent à certaines normes et conditions.

Aux États-Unis, les lois étroitement liées aux activités de piratage informatique comprennent principalement le Computer Fraud and Abuse Act (CFAA). En vertu de la CFAA, tout accès non autorisé ou accès non autorisé à un ordinateur protégé peut constituer un crime. Pour les hackers au chapeau blanc, leurs actions doivent généralement être menées dans le cadre d'une autorisation explicite, sinon ils peuvent violer la CFAA, même à des fins de tests de sécurité. De plus, avec le développement de la technologie, certaines régions ont progressivement élaboré des réglementations plus spécifiques pour guider et protéger le comportement des pirates informatiques.

En Chine, la loi sur la cybersécurité clarifie également les exigences générales relatives au renforcement de la protection de la sécurité des réseaux et à la gestion du cyberespace. Cela signifie que les intrusions sur le réseau, même à des fins de tests de sécurité, peuvent être considérées comme illégales ; dans le même temps, les lois sur la sécurité mettent l'accent sur la protection des données personnelles et de la vie privée. Toute opération impliquant des données personnelles dans les tests de réseau doit garantir que la sécurité et la confidentialité des données ne sont pas violées ; après avoir découvert une faille de sécurité, vous êtes responsable de la signaler en temps opportun à l'agence de gestion de la sécurité du réseau et à l'opérateur de réseau concerné. Ce mécanisme de signalement est conçu pour corriger rapidement les vulnérabilités et empêcher toute utilisation abusive.

Cependant, dans l'industrie du Web 3.0, certains tests de pirates informatiques impliquent également le transfert de fonds, mais généralement avec l'autorisation tacite du projet (par exemple, le projet a des subventions associées), ou en transférant des fonds cryptés vers un portefeuille indépendant spécifique. (sans autre action), puis signaler la vulnérabilité et obtenir des récompenses de la part du projet. C'est également un comportement bien établi dans l'industrie.

Cependant, dans le cas de CertiK, le transfert effectif des fonds et surtout les opérations ultérieures ont soulevé des complications juridiques. D'une part, il s'agit de savoir si CertiK a transféré des fonds pour des raisons d'intérêt personnel ; d'autre part, CertiK n'a pas respecté les exigences claires de Kraken concernant les pirates informatiques, mais a prouvé à nouveau la même vulnérabilité en transférant des fonds ; , son utilisation ultérieure des opérations de fonds transférés peut être considérée comme une réalisation de profit illégale. En outre, le traitement post-action de CertiK, y compris la communication et la coordination avec Kraken, affectera également l’évaluation juridique de ses actions.

Conclusion et réflexion

Bien que le différend entre Kraken et CertiK soit entièrement une question de droit américain, il est difficile pour l’avocat de Mankiw d’exprimer son point de vue au regard du droit américain. Mais en supposant que cela se produise en vertu de la loi chinoise, le comportement de CertiK pourrait ne pas échapper à des accusations d’extorsion et d’intrusion illégale dans les systèmes informatiques.

En effet, les pirates informatiques peuvent également « devenir noirs » dans certaines circonstances. Même si l’intention initiale était d’améliorer la sécurité du système, s’ils effectuent des tests sans autorisation appropriée ou exploitent les vulnérabilités découvertes à des fins privées, ces actions s’écartent des normes juridiques et éthiques des pirates informatiques. Comme le démontrent les incidents CertiK et Kraken, les transferts de fonds non autorisés, en particulier lorsqu’il s’agit de grosses sommes d’argent, peuvent être considérés comme un comportement de chapeau noir, même à des fins de test.