Суматоха в криптоиндустрии действительно захватывающая. Нет, распад единорога шифровальной безопасности CertiK и американской супербиржи Kraken превратил автора в бахчевое поле.

История выглядит примерно так: CertiK обнаружила серьезную уязвимость во время тестирования безопасности, связанную с возможностью искусственного увеличения баланса крипто-торгового счета на платформе Kraken, и надеялась достичь порога срабатывания сигнализации Kraken посредством тестирования. Однако Kraken заявила, что поведение CertiK выходит за рамки общих исследований безопасности и подозревается в получении прибыли от уязвимостей, поэтому обвинила CertiK в шантаже.

По данным CertiK, их тестирование выявило многочисленные уязвимости безопасности в системах Kraken, которые могут привести к убыткам в сотни миллионов долларов, если их не устранить. CertiK подчеркнула, что их действия были направлены на усиление сетевой безопасности и защиту интересов всех пользователей, и раскрыла полный график тестирования и соответствующие адреса депозитов, чтобы доказать их прозрачность и целостность.

Kraken и ее руководитель службы безопасности Ник Перкоко подчеркнули в социальных сетях и публичных заявлениях, что их программа вознаграждения за обнаружение ошибок имеет четкие правила и требует от всех исследователей, обнаруживающих уязвимости, соблюдать эти правила. Kraken также заявил, что поведение CertiK представляет собой прямую угрозу безопасности ее платформы, и сообщил об инциденте в правоохранительные органы.

Это противостояние не только затрагивает технические вопросы и вопросы безопасности, но также затрагивает правовые и этические границы, особенно в отношении границ и ответственности хакерской деятельности «белых хакеров». Это дает адвокату Мэнкью богатую основу и основу для дальнейшего обсуждения правовых аспектов деятельности белых хакеров.

Законны ли хакеры в белой шляпе?

Строго говоря, поведение хакеров в белой шляпе очень похоже на незаконное проникновение в компьютерные системы. Но в большинстве случаев хакерам в белой шляпе не будет дана юридическая оценка их преступлениям. Потому что цели и поведенческий процесс белых хакеров существенно отличаются от незаконной и преступной деятельности.

Хакеры в цепочке помогают компаниям и организациям создавать более безопасную сетевую среду, обнаруживая и исправляя уязвимости, тем самым повышая надежность и надежность сети и внося положительный вклад в безопасность и стабильность всей цепочки.

Повлияет ли получение вознаграждений на оценку хакеров в белой шляпе? В качестве эффективного механизма стимулирования вознаграждение может привлечь больше талантов к инвестированию в область сетевой безопасности, тем самым повышая безопасность всей отрасли. В то же время это экономически эффективный способ устранения уязвимостей для предприятий и организаций. это также может создать имидж предприятий, серьезно относящихся к кибербезопасности. Поэтому для хакеров в белой шляпе обычно принято взимать разумную плату.

На этот раз CertiK — хакер в белой шляпе?

В споре между CertiK и Kraken одним из основных вопросов являются границы поведения CertiK. Действия CertiK, в частности мотивация и законность перевода 3 миллионов долларов на внешние кошельки, стали предметом споров.

Поведение непрозрачно

CertiK — это охранная компания, с которой сотрудничает Kraken, и, зная, что у Kraken есть программа вознаграждения за уязвимости безопасности, она может гарантировать получение достаточной авторизации перед началом тестирования. В то же время, согласно сообщениям сообщества и Kraken, когда CertiK сообщила об уязвимости, она не упомянула конкретную сумму перевода. Вместо этого, после того как Kraken осуществил «возврат 3 миллионов долларов», она раскрыла свои «все тестовые адреса». доказать, что он не передал Kraken взысканную сумму.

Передача средств – это факт

Согласно заявлениям Kraken и сетевого детектива @0xBoboShanti, исследователи безопасности CertiK провели обнаружение и тестирование еще 27 мая, что противоречит хронологии событий CertiK. В то же время, в ходе последующего тестирования уязвимостей, хотя CertiK утверждала, что операция заключалась в проверке возможности своевременного срабатывания системы сигнализации Kraken, в реальной эксплуатации такого рода тестирование не ограничивалось только обнаружением уязвимостей, CertiK также была передана в независимый адрес кошелька. Такое поведение выходит за рамки обычного тестирования безопасности. Согласно раскрытию информации, CertiK ранее выполняла ту же операцию на нескольких биржах, а также использовала Tornado Cash для передачи активов и ChangeNOW для продажи.

Две вышеупомянутые ситуации, скорее всего, вышли за рамки поведения хакеров в белой шляпе.

Юридическое определение является ключевым

С юридической точки зрения действия хакеров в белой шляпе обычно считаются законными, но только если они соответствуют определенным нормам и условиям.

В Соединенных Штатах законы, тесно связанные с хакерской деятельностью в белых шляпах, в основном включают Закон о компьютерном мошенничестве и злоупотреблениях (CFAA). Согласно CFAA, любой несанкционированный доступ или несанкционированный доступ к защищенному компьютеру может представлять собой преступление. Для хакеров в белой шляпе их действия обычно должны осуществляться в рамках явного разрешения, в противном случае они могут нарушить CFAA даже в целях тестирования безопасности. Кроме того, с развитием технологий в некоторых регионах постепенно сформировались более конкретные правила, регулирующие и защищающие поведение хакеров в белой шляпе.

В Китае Закон о кибербезопасности также разъясняет общие требования по усилению защиты сетевой безопасности и усилению управления киберпространством. Это означает, что сетевые вторжения, даже с целью проверки безопасности, могут считаться незаконными. В то же время законы о безопасности подчеркивают защиту личных данных и конфиденциальности; Любая операция с персональными данными при тестировании сети должна гарантировать, что безопасность и конфиденциальность данных не будут нарушены; после обнаружения уязвимости безопасности вы несете ответственность за своевременное сообщение об этом агентству по управлению сетевой безопасностью и затронутому сетевому оператору. Этот механизм отчетности предназначен для оперативного устранения уязвимостей и предотвращения злоупотреблений ими.

Однако в индустрии Web 3.0 некоторые хакерские тесты в белой шляпе также включают перевод средств, но обычно с молчаливого разрешения проекта (например, проект имеет соответствующие гранты) или путем перевода зашифрованных средств в определенный независимый кошелек. (без дальнейших действий), затем сообщите об уязвимости и получите вознаграждение от участника проекта. Это также устоявшееся поведение в отрасли.

Однако в случае с CertiK фактический перевод средств и особенно последующие операции вызвали юридические сложности. С одной стороны, речь идет о том, перевел ли CertiK средства из корыстных побуждений; с другой стороны, CertiK не выполнил четкие требования Kraken для хакеров в белой шляпе, но с другой стороны, снова доказал ту же уязвимость, переведя средства; , его последующее использование операций по переводу денежных средств может быть расценено как незаконное получение прибыли. Кроме того, действия CertiK после принятия решения, включая общение и координацию с Kraken, также повлияют на юридическую оценку ее действий.

Выводы и размышления

Хотя спор между Kraken и CertiK полностью является юридическим вопросом США, адвокату Мэнкью сложно выразить свою точку зрения в соответствии с законодательством США. Но если предположить, что это произошло в соответствии с китайским законодательством, поведение CertiK не могло бы избежать обвинений в вымогательстве и незаконном проникновении в компьютерные системы.

Действительно, хакеры в белой шляпе также могут «стать черными» при определенных обстоятельствах. Даже если первоначальное намерение состоит в повышении безопасности системы, если они проводят тестирование без надлежащего разрешения или используют обнаруженные уязвимости для личной выгоды, эти действия отклоняются от правовых и этических стандартов хакеров в белой шляпе. Как показывают инциденты с CertiK и Kraken, несанкционированные переводы средств, особенно когда речь идет о крупных суммах денег, могут рассматриваться как «черная шляпа» даже в целях тестирования.