• O hacking de chapéu branco é um componente crucial da segurança cibernética, mas pode gerar controvérsia – como ilustrado recentemente na disputa da CertiK com a Kraken.

O hacking de chapéu branco, ou hacking ético, é um componente crucial da segurança cibernética. É o hacking que permite que “mocinhos” dissecem aplicativos, relatem vulnerabilidades de segurança aos fornecedores e usem as informações para melhorar a postura de segurança do ecossistema. 

Este não é um conceito único em blockchain. ele existe em locais que incluem nuvem, inteligência artificial, segurança de sistema operacional e muito mais. 

No entanto, em todos os casos, os fornecedores e os investigadores de segurança criaram uma relação delicada mas poderosa, baseada no equilíbrio da confiança.

No espaço blockchain, auditores como Trail of Bits, Halborn e Open Zeppelin analisam e reparam vários contratos inteligentes há anos e operam com o máximo profissionalismo, construindo um forte senso de confiança.

Disputa de CertiK e Kraken

Em 17 de maio, pesquisadores da CertiK descobriram uma vulnerabilidade no cálculo de saldo e mecanismo de depósito do Digital Asset Exchange da Kraken. 

A CertiK identificou recentemente uma série de vulnerabilidades críticas na bolsa @krakenfx que podem levar a perdas de centenas de milhões de dólares.

Começando com uma descoberta no sistema de depósito de @krakenfx, onde ele pode não conseguir diferenciar entre diferentes internos… pic.twitter.com/JZkMXj2ZCD

-CertiK (@CertiK) 19 de junho de 2024

A equipe de segurança da Kraken definiu corretamente este problema como um problema crítico e relatou que foi resolvido em 47 minutos.

Embora pareça inocente a princípio, esse tipo de vulnerabilidade permite que os invasores “dobrem os gastos”, o que significa que eles têm a capacidade de falsificar um depósito na exchange. 

Depois que seu saldo na bolsa é atualizado por engano, eles se viram e sacam a mesma quantia. 

Esta lei remove dinheiro da carteira do tesouro principal da bolsa (que é a que a maioria das bolsas centralizadas utiliza para gerir fundos de custódia, semelhantes aos bancos).

A CertiK também publicou a lista de transações de depósito falsas, explorando a vulnerabilidade pelo menos 20 vezes em cinco dias, alegando que estavam apenas testando os mecanismos de detecção do Kraken.

Depois de ter uma prova de conceito funcional, os pesquisadores da CertiK deveriam ter relatado o problema imediatamente à Kraken e interrompido qualquer exploração adicional da vulnerabilidade. 

No entanto, desde o incidente, todos os fundos retirados durante este chamado “teste” foram devolvidos à Kraken, com exceção de uma pequena quantia que foi perdida em taxas.

Uma estrutura para hacking ético

Hackear chapéu branco é delicado.

O objetivo é aumentar a segurança das aplicações, garantindo confiança e transparência sem comprometer os negócios do fornecedor.

No entanto, a verdade subjacente é que os hackers de chapéu branco são muitas vezes movidos por relações públicas e, com os motivos errados, visam as manchetes mais ousadas. 

Por exemplo, “CertiK conseguiu tirar US$ 3 milhões do Kraken sem que ninguém percebesse” é uma manchete muito mais intrigante do que “Pesquisadores encontraram um bug crítico no Kraken e economizaram milhões de dólares”.

É aqui que a tensão se torna alta. Espera-se que os pesquisadores éticos relatem suas descobertas o mais rápido possível e tenham a prova de conceito mais enxuta para que os negócios do fornecedor não sejam interrompidos. 

A única exceção é quando o fornecedor solicita testes de penetração dos pesquisadores, caso em que eles teriam concordado com o escopo dos testes e o código de conduta.

Infelizmente, este não foi o caso aqui, já que os testes de penetração “não solicitados” continuaram por quatro dias depois que a CertiK fez uma prova de conceito bem-sucedida. 

A CertiK deveria ter devolvido os fundos antes ou no momento do relatório inicial. Uma quantia tão grande de fundos nunca deveria ter sido retirada do tesouro da Kraken ou de qualquer outra bolsa.

Onde a confiança encontra um lugar

Como indústria, devemos permanecer unidos e cuidar uns dos outros, independentemente da atenção que uma manchete prejudicial traria a uma empresa concorrente.

Nossa indústria enfrenta um grande número de hackers mal-intencionados para combater. Felizmente, mesmo depois de desenvolvimentos decepcionantes como este, continuamos a melhorar os produtos e práticas de segurança, enquanto a inovação avança de forma constante. 

A colaboração do lado da indústria, onde informações íntimas e valiosas são compartilhadas entre concorrentes, é crucial porque, no final das contas, a segurança é um esporte de equipe.

Só poderemos avançar como indústria se houver confiança entre todos os “mocinhos”. Na verdade, não deveríamos ser “nós” versus “eles” – todos trabalhamos para um bem comum e temos que ter isso em mente antes de mais nada.