• L’hacking white hat è una componente cruciale della sicurezza informatica, ma può suscitare controversie, come recentemente illustrato nella disputa di CertiK con Kraken.

L’hacking white hat, o hacking etico, è una componente cruciale della sicurezza informatica. È l’hacking che consente ai “bravi ragazzi” di analizzare le applicazioni, segnalare le vulnerabilità della sicurezza ai fornitori e utilizzare le informazioni per migliorare la posizione di sicurezza dell’ecosistema. 

Questo non è un concetto unico nella blockchain. esiste in luoghi tra cui il cloud, l'intelligenza artificiale, la sicurezza del sistema operativo e altro ancora. 

Tuttavia, in tutti i casi, i fornitori e i ricercatori in materia di sicurezza hanno creato una relazione delicata ma potente basata sull'equilibrio della fiducia.

Nel settore blockchain, revisori come Trail of Bits, Halborn e Open Zeppelin analizzano e riparano da anni vari contratti intelligenti e operano con la massima professionalità, creando un forte senso di fiducia.

La controversia tra CertiK e Kraken

Il 17 maggio, i ricercatori di CertiK hanno scoperto una vulnerabilità nel calcolo del saldo e nel meccanismo di deposito del Digital Asset Exchange di Kraken.

CertiK ha recentemente identificato una serie di vulnerabilità critiche nell'exchange @krakenfx che potrebbero potenzialmente causare perdite per centinaia di milioni di dollari.

Partendo da una scoperta nel sistema di deposito di @krakenfx, che potrebbe non riuscire a distinguere tra diversi... pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 19 giugno 2024

Il Kraken Security Team ha giustamente definito questo problema come critico e ha segnalato che è stato risolto entro 47 minuti.

Sebbene apparentemente innocente a prima vista, questo tipo di vulnerabilità consente agli aggressori di "spendere due volte", ovvero di falsificare un deposito nell'exchange.

Una volta che il loro saldo sullo scambio si aggiorna per errore, tornano indietro e prelevano lo stesso importo.

Questo atto rimuove denaro dal portafoglio di tesoreria principale dell’exchange (che è quello che la maggior parte degli exchange centralizzati utilizza per gestire i fondi di custodia, simili alle banche).

CertiK ha anche pubblicato l'elenco delle transazioni di deposito false, sfruttando la vulnerabilità almeno 20 volte in cinque giorni, sostenendo di aver solo testato i meccanismi di rilevamento di Kraken.

Dopo aver ottenuto una proof-of-concept funzionante, i ricercatori di CertiK avrebbero dovuto segnalare immediatamente il problema a Kraken e interrompere qualsiasi ulteriore sfruttamento della vulnerabilità.

Tuttavia, dopo l'incidente, tutti i fondi prelevati durante questo cosiddetto "test" sono stati restituiti a Kraken, a parte una piccola somma che è andata persa in commissioni.

Un quadro per l'hacking etico

L'hacking white hat è un'attività delicata.

L'obiettivo è migliorare la sicurezza delle applicazioni, garantendo affidabilità e trasparenza senza compromettere l'attività del fornitore.

Tuttavia, la verità di fondo è che gli hacker white hat sono spesso spinti dalle pubbliche relazioni e, con motivazioni sbagliate, punteranno al titolo più audace.

Ad esempio, "CertiK è riuscita a prendere 3 milioni di dollari da Kraken senza che nessuno se ne accorgesse" è un titolo molto più intrigante di "I ricercatori hanno trovato un bug critico in Kraken e hanno risparmiato milioni di dollari".

È qui che la tensione diventa alta. Ci si aspetta che i ricercatori etici riferiscano le loro scoperte il prima possibile e abbiano la prova di concetto più snella in modo che l'attività del fornitore non venga interrotta.

L'unica eccezione si verifica quando il fornitore richiede ai ricercatori di effettuare test di penetrazione, nel qual caso i due soggetti avrebbero concordato l'ambito dei test e il codice di condotta.

Sfortunatamente, questo non è stato il caso in questo caso poiché il test di penetrazione "non richiesto" è continuato per quattro giorni dopo che CertiK ha effettuato una prova di concetto con successo.

CertiK avrebbe dovuto restituire i fondi prima o al momento della segnalazione iniziale. Una quantità così grande di fondi non avrebbe mai dovuto essere prelevata dalla tesoreria di Kraken o da qualsiasi altro exchange.

Dove la fiducia trova un posto

Come settore dovremmo restare uniti e prenderci cura gli uni degli altri, indipendentemente dall'attenzione che un titolo offensivo potrebbe attirare su un'azienda concorrente.

Il nostro settore si trova ad affrontare un numero elevato di hacker malintenzionati da combattere. Fortunatamente, anche dopo sviluppi deludenti come questo, continuiamo a migliorare i prodotti e le pratiche di sicurezza, mentre l'innovazione procede costantemente.

La collaborazione tra i vari settori, in cui informazioni riservate e preziose vengono condivise tra concorrenti, è fondamentale perché, in fin dei conti, la sicurezza è uno sport di squadra.

Possiamo andare avanti come industria solo se c'è fiducia tra tutti i "bravi ragazzi". In effetti, non dovrebbe essere "noi" contro "loro": stiamo tutti lavorando per un bene comune e dobbiamo tenerlo a mente prima di tutto.