• Peretasan topi putih adalah komponen penting keamanan siber, namun hal ini dapat menimbulkan kontroversi — seperti yang baru-baru ini diilustrasikan dalam perselisihan CertiK dengan Kraken.

Peretasan topi putih, atau peretasan etis, adalah komponen penting keamanan siber. Peretasanlah yang memungkinkan “orang baik” membedah aplikasi, melaporkan kerentanan keamanan kepada vendor, dan menggunakan informasi tersebut untuk meningkatkan postur keamanan ekosistem. 

Ini bukanlah konsep unik dalam blockchain. itu ada di berbagai tempat termasuk cloud, kecerdasan buatan, keamanan sistem operasi, dan banyak lagi. 

Namun, dalam semua kasus, vendor dan peneliti keamanan telah menciptakan hubungan yang rumit tetapi kuat berdasarkan pada tindakan penyeimbangan kepercayaan.

Di ruang blockchain, auditor seperti Trail of Bits, Halborn, dan Open Zeppelin telah menganalisis dan memperbaiki berbagai kontrak pintar selama bertahun-tahun dan telah beroperasi dengan profesionalisme maksimal, membangun rasa kepercayaan yang kuat.

Perselisihan CertiK dan Kraken

Pada tanggal 17 Mei, peneliti dari CertiK menemukan kerentanan dalam perhitungan saldo dan mekanisme penyetoran Bursa Aset Digital Kraken.

CertiK baru-baru ini mengidentifikasi serangkaian kerentanan kritis di bursa @krakenfx yang berpotensi menyebabkan kerugian ratusan juta dolar.

Dimulai dari temuan di sistem deposit @krakenfx yang mungkin gagal membedakan antara internal yang berbeda… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 19 Juni 2024

Tim Keamanan Kraken dengan tepat mendefinisikan ini sebagai masalah kritis dan melaporkannya terselesaikan dalam waktu 47 menit.

Meskipun pada awalnya tampak tidak berbahaya, jenis kerentanan ini memungkinkan penyerang untuk melakukan “pengeluaran ganda”, yang berarti mereka memiliki kemampuan untuk memalsukan setoran ke dalam bursa.

Setelah saldo mereka di bursa secara keliru diperbarui, mereka kemudian berbalik dan menarik jumlah yang sama.

Undang-undang ini mengambil uang dari dompet kas utama bursa (yang digunakan oleh sebagian besar bursa terpusat untuk mengelola dana kustodian, mirip dengan bank).

CertiK juga menerbitkan daftar transaksi deposit palsu, mengeksploitasi kerentanan setidaknya 20 kali selama lima hari, sambil mengklaim mereka hanya menguji mekanisme deteksi Kraken.

Setelah memiliki bukti konsep yang berfungsi, peneliti CertiK seharusnya segera melaporkan masalah tersebut ke Kraken dan menghentikan eksploitasi lebih lanjut terhadap kerentanan tersebut.

Meskipun demikian, sejak insiden tersebut, semua dana yang diambil selama apa yang disebut “pengujian” ini telah dikembalikan ke Kraken, kecuali sejumlah kecil yang hilang dalam bentuk biaya.

Kerangka Kerja untuk Peretasan Etis

Peretasan topi putih itu rumit.

Tujuannya adalah untuk meningkatkan keamanan aplikasi, memastikan kepercayaan dan transparansi tanpa membahayakan bisnis vendor.

Namun, kebenaran yang mendasarinya adalah bahwa peretas topi putih sering kali didorong oleh kepentingan PR dan, dengan motif yang salah, akan mengincar berita utama yang paling berani.

Misalnya, “CertiK berhasil mengambil $3 juta dari Kraken tanpa diketahui siapa pun” adalah judul yang jauh lebih menarik daripada “Para peneliti menemukan bug kritis di Kraken dan menghemat jutaan dolar.”

Di sinilah ketegangan meningkat. Peneliti yang beretika diharapkan melaporkan temuan mereka sesegera mungkin dan memiliki bukti konsep yang paling kuat sehingga bisnis vendor tidak terganggu.

Satu-satunya pengecualian adalah ketika vendor mengundang pengujian penetrasi dari para peneliti, dalam hal ini mereka akan menyetujui ruang lingkup pengujian dan kode etik.

Sayangnya, hal ini tidak terjadi di sini karena pengujian penetrasi yang “tidak diminta” terus berlanjut selama empat hari setelah CertiK berhasil melakukan pembuktian konsep.

CertiK seharusnya mengembalikan dana tersebut sebelum atau pada saat pelaporan awal. Dana dalam jumlah besar tersebut seharusnya tidak pernah diambil dari kas Kraken atau bursa lainnya.

Dimana Kepercayaan Menemukan Tempatnya

Sebagai sebuah industri, kita harus bersatu dan saling menjaga satu sama lain, tidak peduli berita utama yang merugikan akan menarik perhatian pada bisnis pesaing.

Industri kami menghadapi banyak peretas jahat yang harus dilawan. Untungnya, bahkan setelah perkembangan yang mengecewakan seperti ini, kami terus meningkatkan produk dan praktik keamanan, sementara inovasi terus bergerak maju.

Kolaborasi sisi industri, di mana informasi yang intim dan berharga dibagikan antara para pesaing sangatlah penting karena, pada akhirnya, keamanan adalah olahraga tim.

Kita hanya dapat maju sebagai sebuah industri jika ada rasa percaya di antara semua "pihak baik." Bahkan, seharusnya tidak ada "kita" versus "mereka" — kita semua bekerja menuju kebaikan bersama dan kita harus mengingatnya terlebih dahulu.