• Хакерство в білих капелюхах є важливим компонентом кібербезпеки, але воно може супроводжуватися суперечками, як нещодавно продемонструвала суперечка CertiK з Kraken.

Хакерство в білому капелюсі, або етичне хакерство, є ключовим компонентом кібербезпеки. Це хакерство, яке дозволяє «хорошим хлопцям» аналізувати додатки, повідомляти постачальникам про вразливості безпеки та використовувати інформацію для покращення стану безпеки екосистеми. 

Це не унікальна концепція в блокчейні. він існує в таких місцях, як хмара, штучний інтелект, безпека операційної системи тощо. 

Однак у всіх випадках постачальники та дослідники безпеки створили делікатні, але потужні відносини, засновані на довірі.

У сфері блокчейну такі аудитори, як Trail of Bits, Halborn і Open Zeppelin, роками аналізували та виправляли різноманітні смарт-контракти та діяли з максимальним професіоналізмом, створюючи сильне почуття довіри.

Суперечка CertiK і Kraken

17 травня дослідники з CertiK виявили вразливість у механізмі розрахунку балансу та депозиту Kraken Digital Asset Exchange. 

CertiK нещодавно виявив серію критичних вразливостей в обміні @krakenfx, які потенційно можуть призвести до збитків на сотні мільйонів доларів.

Починаючи зі знахідки в депозитній системі @krakenfx, де вона може не розрізняти різні внутрішні… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 19 червня 2024 р

Команда безпеки Kraken правильно визначила цю проблему як критичну та повідомила, що її було вирішено протягом 47 хвилин.

Хоча спочатку здається невинним, цей тип уразливості дозволяє зловмисникам «подвоїти витрати», тобто вони мають можливість підробити депозит на біржі. 

Коли їхній баланс на біржі помилково оновлюється, вони повертаються та знімають ту саму суму. 

Цей акт видаляє гроші з основного казначейського гаманця біржі (це те, що більшість централізованих бірж використовують для управління кастодіальними фондами, подібно до банків).

CertiK також опублікував список підроблених депозитних транзакцій, використовуючи вразливість принаймні 20 разів протягом п’яти днів, стверджуючи, що вони лише тестували механізми виявлення Kraken.

Отримавши робоче підтвердження концепції, дослідники CertiK повинні були негайно повідомити про проблему Kraken і припинити будь-яке подальше використання вразливості. 

Тим не менш, після інциденту всі кошти, вилучені під час цього так званого «тестування», були повернуті Kraken, окрім невеликої суми, яка була втрачена на комісії.

Концепція етичного хакерства

Злом білих капелюхів – справа делікатна.

Мета полягає в тому, щоб підвищити безпеку додатків, забезпечивши довіру та прозорість, не ставлячи під загрозу бізнес постачальника.

Однак основна істина полягає в тому, що хакери «білих капелюхів» часто керуються піаром і, маючи неправильні мотиви, прагнуть отримати найсміливіший заголовок. 

Наприклад, «CertiK вдалося взяти 3 мільйони доларів у Kraken, не помітивши цього» — набагато інтригуючий заголовок, ніж «Дослідники знайшли критичну помилку в Kraken і заощадили мільйони доларів».

Тут напруга стає високою. Очікується, що дослідники, які дотримуються етики, повідомлять про свої висновки якнайшвидше та мають найточніші докази концепції, щоб не порушити бізнес постачальника. 

Єдиним винятком є ​​випадки, коли постачальник запрошує дослідників на тестування на проникнення, і в цьому випадку вони погодили б обсяг тестування та кодекс поведінки.

На жаль, тут це було не так, оскільки «небажане» тестування на проникнення тривало протягом чотирьох днів після того, як CertiK здійснив успішне підтвердження концепції. 

CertiK мав повернути кошти до або під час первинної звітності. Таку велику суму коштів ніколи не слід було брати зі скарбниці Kraken або будь-якої іншої біржі.

Де довіра знаходить місце

Як індустрія, ми повинні триматися разом і піклуватися один про одного, незалежно від уваги, яку шкідливий заголовок приверне до конкуруючого бізнесу.

Наша галузь стикається з великою кількістю поганих хакерів, з якими потрібно боротися. На щастя, навіть після невтішних подій, подібних до цієї, ми продовжуємо вдосконалювати продукти та методи безпеки, а інновації неухильно просуваються вперед. 

Співпраця на стороні промисловості, коли конкуренти обмінюються інтимною та цінною інформацією, є надзвичайно важливою, оскільки, зрештою, безпека — це командний вид спорту.

Ми можемо рухатися вперед як галузь, лише якщо є довіра між усіма «хорошими хлопцями». Насправді, «ми» проти «вони» не має бути — ми всі працюємо на спільне благо, і це маємо пам’ятати насамперед.