A turbulência na indústria criptográfica é verdadeiramente emocionante. Não, a separação do unicórnio de segurança de criptografia CertiK e da super exchange americana Kraken transformou o autor em um campo de melão.

A história é mais ou menos assim: CertiK descobriu uma vulnerabilidade séria durante seus testes de segurança, envolvendo a possibilidade de aumentar artificialmente o saldo de uma conta de negociação criptografada na plataforma Kraken, e esperava atingir o limite de alerta de alarme do Kraken por meio de testes. No entanto, Kraken afirmou que o comportamento da CertiK ia além do escopo da pesquisa geral de segurança e era suspeito de lucrar com vulnerabilidades, por isso acusou a CertiK de chantagem.

De acordo com a CertiK, seus testes revelaram múltiplas vulnerabilidades de segurança nos sistemas Kraken que poderiam levar a centenas de milhões de dólares em perdas se não fossem corrigidas. A CertiK enfatizou que suas ações visavam fortalecer a segurança da rede e proteger os interesses de todos os usuários, e divulgou o cronograma completo dos testes e os endereços de depósito relacionados para provar sua transparência e integridade.

Kraken e seu CSO Nick Percoco enfatizaram por meio de mídias sociais e declarações públicas que seu programa de recompensas por bugs tem regras claras e exige que todos os pesquisadores que descobrem vulnerabilidades cumpram essas regras. Kraken também afirmou que o comportamento da CertiK constituiu uma ameaça direta à segurança da sua plataforma e relatou o incidente às agências de aplicação da lei.

Este confronto não envolve apenas questões técnicas e de segurança, mas também aborda limites legais e éticos, especialmente no que diz respeito aos limites e responsabilidades das atividades de hacking de chapéu branco. Isso fornece um histórico rico e uma base de discussão para o advogado Mankiw discutir mais detalhadamente as dimensões legais dos hackers de chapéu branco.

Os hackers de chapéu branco são legais?

A rigor, o comportamento dos hackers de chapéu branco é muito semelhante à invasão ilegal de sistemas de computador. Mas na maioria dos casos, os hackers de chapéu branco não receberão avaliação legal pelos seus crimes. Porque o propósito e o processo comportamental dos hackers de chapéu branco são essencialmente diferentes das atividades ilegais e criminosas.

Os hackers de chapéu branco na cadeia ajudam empresas e organizações a construir um ambiente de rede mais seguro, descobrindo e corrigindo vulnerabilidades, aumentando assim a confiabilidade e credibilidade da rede e fazendo contribuições positivas para a segurança e estabilidade de toda a cadeia.

O ato de coletar recompensas afetará a avaliação dos hackers de chapéu branco? Como mecanismo de incentivo eficaz, a remuneração pode atrair mais talentos para investir no domínio da segurança de redes, melhorando assim a segurança de toda a indústria. Ao mesmo tempo, é também uma forma económica de reparar vulnerabilidades para empresas e organizações. também pode estabelecer uma imagem de empresas que levam a sério a segurança cibernética. Portanto, geralmente é uma convenção do setor que hackers de chapéu branco cobrem taxas razoáveis.

Desta vez, o CertiK é um hacker de chapéu branco?

Na disputa entre CertiK e Kraken, uma das questões centrais é a fronteira comportamental da CertiK. As ações da CertiK, especificamente a motivação e a legalidade da transferência de US$ 3 milhões em fundos para carteiras externas, tornaram-se um foco de debate.

O comportamento não é transparente

A CertiK é uma empresa de segurança com a qual a Kraken coopera e, sabendo que a Kraken possui um programa de recompensas para vulnerabilidades de segurança, ela pode garantir que seja obtida autorização suficiente antes de iniciar os testes. Ao mesmo tempo, de acordo com divulgações da comunidade e da Kraken, quando a CertiK relatou a vulnerabilidade, ela não mencionou o valor específico da transferência. Em vez disso, depois que a Kraken emitiu um “reembolso de US$ 3 milhões”, ela divulgou seus “todos os endereços de teste” para. provar que não transferiu o valor cobrado à Kraken.

A transferência de fundos é um fato

De acordo com declarações de Kraken e do detetive da rede @0xBoboShanti, os pesquisadores de segurança da CertiK conduziram detecção e testes já em 27 de maio, o que contradiz o cronograma de eventos da CertiK. Ao mesmo tempo, nos testes de vulnerabilidade subsequentes, embora a CertiK alegasse que a operação era para testar se o sistema de alarme do Kraken poderia ser acionado a tempo, na operação real, esse tipo de teste não apenas parou na descoberta de vulnerabilidades, a CertiK também transferiu para independentes endereço da carteira. Esse comportamento está fora do escopo dos testes regulares de segurança. De acordo com as divulgações, a CertiK já realizou a mesma operação em diversas bolsas e também usou o Tornado Cash para transferir ativos e o ChangeNOW para vender.

As duas situações acima provavelmente ultrapassaram os limites comportamentais dos hackers de chapéu branco.

A definição legal é fundamental

Do ponto de vista jurídico, as ações dos hackers de chapéu branco são geralmente consideradas legais, mas apenas se cumprirem certas normas e condições.

Nos Estados Unidos, as leis intimamente relacionadas às atividades de hacking de chapéu branco incluem principalmente a Lei de Fraude e Abuso de Computadores (CFAA). De acordo com a CFAA, qualquer acesso não autorizado ou acesso não autorizado a um computador protegido pode constituir crime. Para hackers de chapéu branco, suas ações geralmente precisam ser realizadas no âmbito de autorização explícita, caso contrário, podem violar o CFAA até mesmo para fins de testes de segurança. Além disso, com o desenvolvimento da tecnologia, algumas regiões formaram gradualmente regulamentos mais específicos para orientar e proteger o comportamento dos hackers de chapéu branco.

Na China, a Lei de Cibersegurança também clarifica os requisitos gerais para reforçar a proteção da segurança da rede e reforçar a gestão do ciberespaço. Isto significa que as intrusões na rede, mesmo para efeitos de testes de segurança, podem ser consideradas ilegais. Ao mesmo tempo, as leis de segurança enfatizam a protecção dos dados pessoais e da privacidade; Qualquer operação envolvendo dados pessoais em testes de rede deve garantir que a segurança e a privacidade dos dados não sejam violadas; após a descoberta de uma vulnerabilidade de segurança, é responsabilidade reportá-la ao órgão de gerenciamento de segurança da rede e ao operador de rede afetado em tempo hábil; . Este mecanismo de relatório foi projetado para corrigir vulnerabilidades imediatamente e evitar abusos.

No entanto, na indústria da Web 3.0, alguns testes de hackers de chapéu branco também envolvem a transferência de fundos, mas geralmente com a permissão tácita do projeto (por exemplo, o projeto tem subvenções relacionadas), ou através da transferência de fundos criptografados para uma carteira independente específica. (sem ação adicional), então relate a vulnerabilidade e obtenha recompensas da parte do projeto. Este também é um comportamento bem estabelecido na indústria.

No entanto, no caso da CertiK, a própria transferência de fundos e especialmente as operações subsequentes suscitaram complicações jurídicas. Por um lado, se a CertiK transferiu fundos por motivos de interesse próprio, por outro lado, a CertiK não cumpriu os requisitos claros do Kraken para hackers de chapéu branco, mas provou novamente a mesma vulnerabilidade ao transferir fundos; , a sua utilização subsequente de operações de fundos transferidos pode ser considerada como obtenção de lucro ilegal. Além disso, o tratamento pós-ação da CertiK, incluindo a comunicação e coordenação com a Kraken, também afetará a avaliação jurídica das suas ações.

Conclusão e reflexão

Embora a disputa entre Kraken e CertiK seja inteiramente uma questão legal dos EUA, é difícil para o advogado de Mankiw expressar as suas opiniões ao abrigo da lei dos EUA. Mas assumindo que isso aconteceu ao abrigo da lei chinesa, o comportamento da CertiK poderá não escapar às acusações de extorsão e intrusão ilegal em sistemas informáticos.

Na verdade, os hackers de chapéu branco também podem “ficar negros” sob certas circunstâncias. Mesmo que a intenção original seja aumentar a segurança do sistema, se realizarem testes sem a devida autorização ou explorarem as vulnerabilidades descobertas para ganho privado, estas ações desviaram-se dos padrões legais e éticos dos hackers de chapéu branco. Como demonstram os incidentes da CertiK e Kraken, as transferências não autorizadas de fundos, especialmente quando estão envolvidas grandes somas de dinheiro, podem ser consideradas comportamento de chapéu preto, mesmo para fins de teste.