ホワイトハットハッキングはサイバーセキュリティの重要な要素ですが、CertiK と Kraken の争いで最近明らかになったように、論争を呼ぶこともあります。
ホワイトハットハッキング、つまり倫理的ハッキングは、サイバーセキュリティの重要な要素です。これは、「善良な人」がアプリケーションを分析し、セキュリティの脆弱性をベンダーに報告し、その情報を使用してエコシステムのセキュリティ体制を改善できるようにするハッキングです。
これはブロックチェーンに特有の概念ではありません。クラウド、人工知能、オペレーティングシステムのセキュリティなど、さまざまな場所に存在します。
しかし、いずれの場合も、ベンダーとセキュリティ研究者は、信頼のバランスをとる行為に基づいて、繊細でありながら強力な関係を築いてきました。
ブロックチェーン分野では、Trail of Bits、Halborn、Open Zeppelin などの監査人が長年にわたりさまざまなスマート コントラクトを分析および修復し、最大限の専門性を持って運営することで、強い信頼感を築いてきました。
CertiKとKrakenの争い
5月17日、CertiKの研究者は、Krakenのデジタル資産取引所の残高計算と入金の仕組みに脆弱性を発見しました。
CertiK は最近、@krakenfx 取引所に数億ドルの損失につながる可能性のある一連の重大な脆弱性を発見しました。
@krakenfx の預金システムで、異なる内部の区別ができない可能性があるという発見から始まりました… pic.twitter.com/JZkMXj2ZCD
— CertiK (@CertiK) 2024年6月19日
Kraken セキュリティ チームはこれを重大な問題として適切に認識し、47 分以内に解決したと報告しました。
一見無害に見えますが、このタイプの脆弱性により、攻撃者は「二重支払い」を行うことができ、取引所への入金を偽装できるようになります。
取引所の残高が誤って更新されると、ユーザーは同じ金額を引き出します。
この行為により、取引所のメインの財務ウォレット(銀行と同様に、大多数の中央集権型取引所が保管資金を管理するために使用しているもの)から資金が削除されます。
CertiKはまた、Krakenの検出メカニズムをテストしているだけだと主張しながら、5日間で少なくとも20回脆弱性を悪用した偽の入金取引のリストも公開した。
概念実証が機能した後、CertiK の研究者は問題を直ちに Kraken に報告し、脆弱性のさらなる悪用を停止するべきでした。
しかしながら、事件以来、このいわゆる「テスト」中に取られた資金は、手数料として失われた少額を除いて、すべてクラーケンに返還された。
倫理的なハッキングのフレームワーク
ホワイトハットハッキングは繊細です。
目標は、ベンダーのビジネスを危険にさらすことなく、アプリケーションのセキュリティを強化し、信頼性と透明性を確保することです。
しかし、根本的な真実は、ホワイトハットハッカーは多くの場合PR志向であり、間違った動機で最も大胆な見出しを狙うということです。
たとえば、「CertiK は誰にも気付かれずに Kraken から 300 万ドルを奪うことに成功した」という見出しは、「研究者が Kraken の重大なバグを発見し、数百万ドルを節約した」という見出しよりもはるかに興味をそそります。
ここで緊張が高まります。倫理的な研究者は、ベンダーのビジネスに支障をきたさないように、できるだけ早く調査結果を報告し、最小限の概念実証を行うことが求められます。
唯一の例外は、ベンダーが研究者に侵入テストを依頼する場合です。この場合は、テストの範囲と行動規範について合意していることになります。
残念ながら、今回のケースではそうではありませんでした。CertiK が概念実証に成功した後も、「一方的な」侵入テストが 4 日間継続されたのです。
CertiK は最初の報告の前かその時点で資金を返還すべきでした。これほど多額の資金が Kraken の金庫や他の取引所から持ち出されることは決してあってはならないことです。
信頼が生まれる場所
業界として、たとえ有害な見出しが競合企業に注目を集めることになっても、私たちは団結してお互いを気遣うべきです。
私たちの業界は、戦うべき悪質なハッカーが多数存在します。幸いなことに、このような残念な展開の後でも、私たちはセキュリティ製品と実践の改善を続けており、イノベーションは着実に前進しています。
結局のところ、セキュリティはチームスポーツであるため、競合他社間で親密で貴重な情報を共有する業界側のコラボレーションは非常に重要です。
すべての「善良な人々」の間に信頼があってこそ、業界として前進することができます。実際、「私たち」対「彼ら」という対立ではなく、私たちは皆、共通の利益のために働いており、何よりもまずそのことを念頭に置く必要があります。