Le turbolenze nel settore delle criptovalute sono davvero entusiasmanti. No, la rottura dell'unicorno di sicurezza crittografica CertiK e del super exchange americano Kraken ha trasformato l'autore in un campo di meloni.

La storia è più o meno questa: CertiK ha scoperto una grave vulnerabilità durante i suoi test di sicurezza, che coinvolgeva la possibilità di aumentare artificialmente il saldo di un conto di trading di criptovalute sulla piattaforma Kraken, e sperava di raggiungere la soglia di allarme di Kraken attraverso i test. Tuttavia, Kraken ha affermato che il comportamento di CertiK andava oltre l’ambito della ricerca generale sulla sicurezza ed era sospettato di trarre profitto dalle vulnerabilità, quindi ha accusato CertiK di ricatto.

Secondo CertiK, i test hanno rivelato molteplici vulnerabilità di sicurezza nei sistemi Kraken che potrebbero portare a perdite di centinaia di milioni di dollari se lasciati senza patch. CertiK ha sottolineato che le sue azioni mirano a rafforzare la sicurezza della rete e a proteggere gli interessi di tutti gli utenti e ha divulgato la cronologia completa dei test e i relativi indirizzi di deposito per dimostrare la loro trasparenza e integrità.

Kraken e il suo CSO Nick Percoco hanno sottolineato attraverso i social media e dichiarazioni pubbliche che il loro programma bug bounty ha regole chiare e richiede a tutti i ricercatori che scoprono vulnerabilità di rispettarle. Kraken ha inoltre affermato che il comportamento di CertiK ha costituito una minaccia diretta alla sicurezza della sua piattaforma e ha segnalato l’incidente alle forze dell’ordine.

Questo confronto non coinvolge solo questioni tecniche e di sicurezza, ma tocca anche confini legali ed etici, in particolare per quanto riguarda i confini e le responsabilità delle attività di hacking white hat. Ciò fornisce un ricco background e una base di discussione per l'avvocato Mankiw per discutere ulteriormente le dimensioni legali degli hacker white hat.

Gli hacker white hat sono legali?

A rigor di termini, il comportamento degli hacker white hat è molto simile all’intrusione illegale nei sistemi informatici. Ma nella maggior parte dei casi, agli hacker white hat non verrà fornita una valutazione legale per i loro crimini. Perché lo scopo e il processo comportamentale degli hacker white hat sono essenzialmente diversi dalle attività illegali e criminali.

Gli hacker white hat sulla catena aiutano le imprese e le organizzazioni a costruire un ambiente di rete più sicuro scoprendo e risolvendo le vulnerabilità, migliorando così l'affidabilità e la credibilità della rete e fornendo contributi positivi alla sicurezza e alla stabilità dell'intera catena.

L’atto di raccogliere ricompense influenzerà la valutazione degli hacker white hat? Essendo un meccanismo di incentivazione efficace, la remunerazione può attrarre più talenti a investire nel campo della sicurezza della rete, migliorando così la sicurezza dell'intero settore. Allo stesso tempo, è anche un modo economicamente vantaggioso per riparare le vulnerabilità per le imprese e le organizzazioni. può anche creare un'immagine delle imprese che prendono sul serio la sicurezza informatica. Pertanto, è generalmente una convenzione del settore che gli hacker white hat addebitino tariffe ragionevoli.

Questa volta CertiK è un hacker dal cappello bianco?

Nella disputa tra CertiK e Kraken, una delle questioni centrali è il confine comportamentale di CertiK. Le azioni di CertiK, in particolare la motivazione e la legalità del trasferimento di 3 milioni di dollari di fondi a portafogli esterni, sono diventate al centro del dibattito.

Il comportamento non è trasparente

CertiK è una società di sicurezza con cui Kraken collabora e, sapendo che Kraken ha un programma di ricompensa per le vulnerabilità della sicurezza, può garantire che venga ottenuta un'autorizzazione sufficiente prima di iniziare i test. Allo stesso tempo, secondo le informazioni della comunità e di Kraken, quando CertiK ha segnalato la vulnerabilità, non ha menzionato l'importo specifico del trasferimento. Invece, dopo che Kraken ha emesso un "rimborso di 3 milioni di dollari", ha rivelato i suoi "tutti gli indirizzi di prova". dimostrare di non aver trasferito Kraken Importo addebitato.

Il trasferimento di fondi è un dato di fatto

Secondo le dichiarazioni di Kraken e del detective on-chain @0xBoboShanti, i ricercatori di sicurezza di CertiK hanno condotto rilevamenti e test già il 27 maggio, il che contraddice la cronologia degli eventi di CertiK. Allo stesso tempo, nei successivi test di vulnerabilità, sebbene CertiK abbia affermato che l'operazione era volta a verificare se il sistema di allarme di Kraken potesse essere attivato in tempo, nel funzionamento effettivo, questo tipo di test non si è limitato solo alla scoperta delle vulnerabilità, CertiK ha anche trasferito a indirizzo del portafoglio indipendente. Questo comportamento non rientra nell'ambito dei normali test di sicurezza. Secondo le informazioni divulgate, CertiK ha precedentemente eseguito la stessa operazione su più scambi e ha anche utilizzato Tornado Cash per trasferire asset e ChangeNOW per la vendita.

Le due situazioni precedenti hanno molto probabilmente superato i limiti comportamentali degli hacker white hat.

La definizione giuridica è fondamentale

Da un punto di vista legale, le azioni degli hacker white hat sono generalmente considerate legali, ma solo se soddisfano determinate norme e condizioni.

Negli Stati Uniti, le leggi strettamente correlate alle attività di hacking white hat includono principalmente il Computer Fraud and Abuse Act (CFAA). Secondo la CFAA, qualsiasi accesso non autorizzato o accesso non autorizzato a un computer protetto può costituire un reato. Gli hacker white hat di solito devono svolgere le loro azioni nell'ambito di un'autorizzazione esplicita, altrimenti potrebbero violare la CFAA anche a scopo di test di sicurezza. Inoltre, con lo sviluppo della tecnologia, alcune regioni hanno gradualmente formato normative più specifiche per guidare e proteggere il comportamento degli hacker white hat.

In Cina, la legge sulla sicurezza informatica chiarisce inoltre i requisiti generali per rafforzare la protezione della sicurezza della rete e rafforzare la gestione del cyberspazio. Ciò significa che le intrusioni nella rete, anche allo scopo di testare la sicurezza, possono essere considerate illegali. Allo stesso tempo, le leggi sulla sicurezza sottolineano la protezione dei dati personali e della privacy; Qualsiasi operazione che coinvolga dati personali nei test di rete deve garantire che la sicurezza e la privacy dei dati non vengano violate; dopo aver scoperto una vulnerabilità della sicurezza, sei responsabile di segnalarla tempestivamente all'agenzia di gestione della sicurezza della rete e all'operatore di rete interessato. Questo meccanismo di segnalazione è progettato per correggere tempestivamente le vulnerabilità e impedirne l'abuso.

Tuttavia, nel settore Web 3.0, alcuni test degli hacker white hat implicano anche il trasferimento di fondi, ma di solito con il tacito permesso del progetto (ad esempio, il progetto ha sovvenzioni correlate) o trasferendo fondi crittografati a uno specifico portafoglio indipendente (senza ulteriori azioni), quindi segnalare la vulnerabilità e ottenere ricompense dalla parte del progetto. Anche questo è un comportamento ben consolidato nel settore.

Nel caso di CertiK, tuttavia, l'effettivo trasferimento dei fondi e soprattutto le operazioni successive hanno sollevato complicazioni legali. Da un lato si tratta del fatto che CertiK abbia trasferito fondi per motivi di interesse personale, dall'altro CertiK non ha rispettato i chiari requisiti di Kraken per gli hacker white hat, ma dall'altro ha dimostrato nuovamente la stessa vulnerabilità trasferindo fondi , il suo successivo utilizzo delle operazioni di fondi trasferiti può essere considerato un profitto illecito. Inoltre, la gestione post-azione di CertiK, compresa la comunicazione e il coordinamento con Kraken, influenzerà anche la valutazione giuridica delle sue azioni.

Conclusione e riflessione

Sebbene la disputa tra Kraken e CertiK sia interamente una questione legale statunitense, è difficile per l’avvocato di Mankiw esprimere le sue opinioni secondo la legge statunitense. Ma supponendo che ciò avvenga secondo la legge cinese, il comportamento di CertiK potrebbe non sfuggire alle accuse di estorsione e intrusione illegale nei sistemi informatici.

In effetti, gli hacker white hat possono anche "diventare neri" in determinate circostanze. Anche se l’intenzione originale è quella di migliorare la sicurezza del sistema, se conducono test senza la dovuta autorizzazione o sfruttano le vulnerabilità scoperte per guadagno privato, queste azioni si discostano dagli standard legali ed etici degli hacker white hat. Come dimostrano gli incidenti di CertiK e Kraken, i trasferimenti di fondi non autorizzati, soprattutto quando si tratta di ingenti somme di denaro, possono essere considerati comportamenti black hat anche a scopo di test.