• Hakowanie metodą „białego kapelusza” jest kluczowym elementem cyberbezpieczeństwa, ale może budzić kontrowersje – jak niedawno pokazał spór CertiK z Krakenem.

Hakowanie metodą białego kapelusza, czyli hakowanie etyczne, jest kluczowym elementem cyberbezpieczeństwa. To hakowanie pozwala „dobrym ludziom” analizować aplikacje, zgłaszać dostawcom luki w zabezpieczeniach i wykorzystywać informacje do poprawy stanu bezpieczeństwa ekosystemu. 

Nie jest to unikalna koncepcja w blockchainie. istnieje w takich miejscach, jak chmura, sztuczna inteligencja, bezpieczeństwo systemu operacyjnego i nie tylko. 

Jednakże we wszystkich przypadkach dostawcy i badacze ds. bezpieczeństwa stworzyli delikatną, ale silną relację opartą na zaufaniu.

W branży blockchain audytorzy, tacy jak Trail of Bits, Halborn i Open Zeppelin, od lat analizują i naprawiają różne inteligentne kontrakty, działając z najwyższym profesjonalizmem, co pozwoliło im zbudować silne poczucie zaufania.

CertiK i spór Krakena

17 maja badacze z CertiK odkryli lukę w zabezpieczeniach mechanizmu obliczania salda i depozytu giełdy Digital Asset Exchange firmy Kraken.

CertiK niedawno zidentyfikował szereg krytycznych luk w zabezpieczeniach giełdy @krakenfx, które potencjalnie mogą doprowadzić do strat w wysokości setek milionów dolarów.

Zaczynając od odkrycia w systemie depozytowym @krakenfx, gdzie może nie być możliwe rozróżnienie różnych wewnętrznych… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 19 czerwca 2024 r.

Zespół ds. bezpieczeństwa Kraken słusznie uznał to za problem krytyczny i poinformował, że został rozwiązany w ciągu 47 minut.

Choć na pierwszy rzut oka wydaje się to niegroźne, tego typu podatność pozwala atakującym na „podwójne wydanie”, co oznacza, że ​​mogą sfałszować depozyt na giełdzie.

Gdy saldo ich konta na giełdzie zostanie przez pomyłkę zaktualizowane, wracają i wypłacają tę samą kwotę.

Ustawa ta usuwa pieniądze z głównego portfela skarbowego giełdy (z którego większość scentralizowanych giełd korzysta w celu zarządzania funduszami powierniczymi, podobnie jak banki).

CertiK opublikował również listę fałszywych transakcji depozytowych, wykorzystując lukę w zabezpieczeniach co najmniej 20 razy w ciągu pięciu dni, twierdząc jednocześnie, że jedynie testuje mechanizmy wykrywania Krakena.

Po uzyskaniu działającego dowodu koncepcji badacze CertiK powinni byli natychmiast zgłosić problem do Kraken i zaprzestać dalszego wykorzystywania tej luki w zabezpieczeniach.

Niemniej jednak od czasu incydentu wszystkie środki pobrane podczas tego tak zwanego „testowania” zostały zwrócone Krakenowi, za wyjątkiem niewielkiej kwoty, która przepadła na opłaty.

Ramy etycznego hakowania

Hackowanie w białych kapeluszach jest delikatne.

Celem jest zwiększenie bezpieczeństwa aplikacji przy jednoczesnym zapewnieniu zaufania i przejrzystości bez narażania działalności dostawcy.

Prawda jest jednak taka, że ​​hakerzy „white hat” często kierują się zasadami PR i mają złe intencje, dlatego będą dążyć do uzyskania jak najjaskrawszych nagłówków.

Na przykład „CertiK zdołał zabrać 3 miliony dolarów z Krakena bez niczyjej wiedzy” jest o wiele bardziej intrygującym nagłówkiem niż „Badacze znaleźli krytyczny błąd w Kraken i zaoszczędzili miliony dolarów”.

W tym miejscu napięcie sięga zenitu. Od badaczy etycznych oczekuje się, że przedstawią swoje odkrycia tak szybko, jak to możliwe, i przedstawią możliwie najkrótszy dowód koncepcji, aby działalność dostawcy nie została zakłócona.

Jedynym wyjątkiem jest sytuacja, gdy dostawca zaprasza badaczy do przeprowadzenia testów penetracyjnych; w takim przypadku uzgodniliby zakres testów i kodeks postępowania.

Niestety, w tym przypadku tak się nie stało, ponieważ „niezamawiane” testy penetracyjne trwały cztery dni po tym, jak CertiK przedstawiło pomyślny dowód koncepcji.

CertiK powinien zwrócić środki przed lub w momencie wstępnego raportowania. Tak duża kwota środków nigdy nie powinna zostać pobrana ze skarbca Krakena ani żadnej innej giełdy.

Gdzie zaufanie znajduje swoje miejsce

Jako branża powinniśmy trzymać się razem i dbać o siebie nawzajem, bez względu na to, jak dużą uwagę mógłby przyciągnąć szkodliwy nagłówek do konkurencyjnej firmy.

Nasza branża musi stawić czoła dużej liczbie hakerów, z którymi trzeba walczyć. Na szczęście, nawet po tak rozczarowujących wydarzeniach, nadal udoskonalamy produkty i praktyki bezpieczeństwa, a innowacje stale się rozwijają.

Kluczowa jest współpraca pomiędzy poszczególnymi branżami, w ramach której konkurenci wymieniają się poufnymi i cennymi informacjami, ponieważ bezpieczeństwo jest w końcu sportem zespołowym.

Możemy iść naprzód jako branża tylko wtedy, gdy istnieje zaufanie między wszystkimi „dobrymi ludźmi”. W rzeczywistości nie powinno być „my” kontra „oni” — wszyscy pracujemy na rzecz wspólnego dobra i musimy o tym pamiętać przede wszystkim.