• Hackingul cu pălărie albă este o componentă esențială a securității cibernetice, dar poate veni cu controverse – așa cum a fost ilustrat recent în disputa dintre CertiK și Kraken.

Hackingul cu pălărie albă, sau hacking-ul etic, este o componentă crucială a securității cibernetice. Hacking-ul le permite „băieților buni” să disece aplicații, să raporteze vulnerabilitățile de securitate vânzătorilor și să folosească informațiile pentru a îmbunătăți postura de securitate a ecosistemului. 

Acesta nu este un concept unic în blockchain. există în locuri, inclusiv în cloud, inteligența artificială, securitatea sistemului de operare și multe altele. 

Cu toate acestea, în toate cazurile, vânzătorii și cercetătorii de securitate au creat o relație delicată, dar puternică, bazată pe actul de echilibrare al încrederii.

În spațiul blockchain, auditori precum Trail of Bits, Halborn și Open Zeppelin au analizat și reparat diverse contracte inteligente de ani de zile și au funcționat cu cel mai mare profesionalism, construind un puternic sentiment de încredere.

Disputa CertiK și Kraken

Pe 17 mai, cercetătorii de la CertiK au descoperit o vulnerabilitate în mecanismul de calcul și depozit al soldului Digital Asset Exchange al Kraken. 

CertiK a identificat recent o serie de vulnerabilități critice în schimbul @krakenfx, care ar putea duce la pierderi de sute de milioane de dolari.

Pornind de la o constatare în sistemul de depozit al @krakenfx, unde este posibil să nu facă diferența între diferitele interne... pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 19 iunie 2024

Echipa de securitate Kraken a definit pe bună dreptate această problemă ca fiind o problemă critică și a raportat că s-a rezolvat în 47 de minute.

Deși aparent nevinovat la început, acest tip de vulnerabilitate permite atacatorilor să „cheltuiască dublu”, ceea ce înseamnă că au capacitatea de a falsifica un depozit în schimb. 

Odată ce soldul lor la bursă se actualizează din greșeală, se întorc apoi și retrag aceeași sumă. 

Acest act elimină bani din portofelul principal de trezorerie al bursei (care este ceea ce folosesc majoritatea burselor centralizate pentru a gestiona fondurile de custodie, similar băncilor).

CertiK a publicat, de asemenea, lista tranzacțiilor false de depozit, exploatând vulnerabilitatea de cel puțin 20 de ori în cinci zile, susținând în același timp că testează doar mecanismele de detectare ale Kraken.

După ce au avut o dovadă de concept funcțională, cercetătorii CertiK ar fi trebuit să raporteze imediat problema lui Kraken și să oprească orice exploatare ulterioară a vulnerabilității. 

Cu toate acestea, de la incident, toate fondurile luate în timpul acestei așa-numite „testări” au fost returnate Kraken, în afară de o sumă mică care a fost pierdută în comisioane.

Un cadru pentru hacking etic

Hackingul pălăriei albe este delicat.

Scopul este de a îmbunătăți securitatea aplicațiilor, asigurând încredere și transparență fără a pune în pericol afacerea furnizorului.

Cu toate acestea, adevărul de bază este că hackerii cu pălărie albă sunt adesea conduși de PR și, cu motive greșite, vor viza cel mai îndrăzneț titlu. 

De exemplu, „CertiK a reușit să ia 3 milioane de dolari de la Kraken fără ca nimeni să observe” este un titlu mult mai intrigant decât „Cercetătorii au găsit o eroare critică în Kraken și au economisit milioane de dolari”.

Aici tensiunea devine ridicată. Se așteaptă ca cercetătorii etnici să-și raporteze constatările cât mai curând posibil și să aibă cea mai slabă dovadă de concept, astfel încât afacerea vânzătorului să nu fie perturbată. 

Singura excepție este atunci când vânzătorul invită cercetători să efectueze teste de penetrare, caz în care aceștia ar fi convenit asupra domeniului de aplicare a testării și a codului de conduită.

Din păcate, acest lucru nu a fost cazul aici, deoarece testarea de penetrare „nesolicitată” a continuat timp de patru zile după ce CertiK a făcut o dovadă de concept de succes. 

CertiK ar fi trebuit să returneze fondurile înainte sau la momentul raportării inițiale. O sumă atât de mare de fonduri nu ar fi trebuit niciodată luată din trezoreria lui Kraken sau din orice alt schimb.

Unde încrederea găsește un loc

Ca industrie, ar trebui să rămânem împreună și să avem grijă unul de celălalt, indiferent de atenția pe care un titlu dăunător ar aduce unei afaceri concurente.

Industria noastră se confruntă cu un număr mare de hackeri răi de luptat. Din fericire, chiar și după evoluții dezamăgitoare ca aceasta, continuăm să îmbunătățim produsele și practicile de securitate, în timp ce inovația avansează în mod constant. 

Colaborarea în industrie, în care informațiile intime și valoroase sunt împărtășite între concurenți, este crucială pentru că, în cele din urmă, securitatea este un sport de echipă.

Putem merge înainte ca industrie doar dacă există încredere între toți „băieții buni”. De fapt, nu ar trebui să fie „noi” versus „ei” – cu toții lucrăm pentru un bine comun și trebuie să ținem cont de asta în primul rând.