• 白帽黑客是网络安全的重要组成部分，但它也可能带来争议——正如最近 CertiK 与 Kraken 的纠纷所表明的那样。

白帽黑客，或道德黑客，是网络安全的重要组成部分。这种黑客行为允许“好人”剖析应用程序、向供应商报告安全漏洞，并利用这些信息改善生态系统的安全态势。

这不是区块链独有的概念。它存在于云、人工智能、操作系统安全等各个地方。

然而，在所有情况下，供应商和安全研究人员都基于信任的平衡行为建立了一种微妙而强大的关系。

在区块链领域，Trail of Bits、Halborn 和 Open Zeppelin 等审计机构多年来一直在分析和修复各种智能合约，并以最高的专业精神运作，建立了强烈的信任感。

CertiK 与 Kraken 的争议

5月17日，CertiK的研究人员发现Kraken数字资产交易所余额计算和存款机制存在漏洞。

CertiK 最近在 @krakenfx 交易所中发现了一系列严重漏洞，可能会导致数亿美元的损失。

从@krakenfx 存款系统中发现的问题开始，它可能无法区分不同的内部......pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 2024 年 6 月 19 日

Kraken 安全团队正确地将其定义为严重问题，并报告称已在 47 分钟内解决。

虽然乍一看似乎无害，但这种漏洞却允许攻击者“双重支付”，这意味着他们有能力伪造存款进入交易所。

一旦他们在交易所的余额错误更新，他们就会转身并提取相同金额。

此行为将从交易所的主要金库钱包中取出资金（大多数中心化交易所使用这个钱包来管理托管资金，类似于银行）。

CertiK 还公布了虚假存款交易清单，五天内至少利用该漏洞 20 次，同时声称他们只是在测试 Kraken 的检测机制。

在有了可行的概念验证之后，CertiK 研究人员应该立即向 Kraken 报告该问题并停止对该漏洞的进一步利用。

尽管如此，自事件发生以来，除了少量费用损失外，这次所谓“测试”期间获取的所有资金都已退还给 Kraken。

道德黑客框架

白帽黑客行为十分微妙。

目标是增强应用程序安全性，确保信任和透明度，同时不危及供应商的业务。

然而，潜在的事实是，白帽黑客往往受公关驱动，并怀有错误的动机，瞄准最醒目的标题。

例如，“CertiK 在无人注意的情况下从 Kraken 手中拿走了 300 万美元”这个标题比“研究人员在 Kraken 中发现了一个关键漏洞并节省了数百万美元”更有趣。

这就是紧张局势加剧的地方。有道德的研究人员应该尽快报告他们的发现，并提供最精简的概念验证，以免供应商的业务受到干扰。

唯一的例外是当供应商邀请研究人员进行渗透测试时，在这种情况下他们会就测试范围和行为准则达成一致。

不幸的是，情况并非如此，因为在 CertiK 成功进行概念验证后，“未经请求的”渗透测试仍持续了四天。

CertiK 应该在首次报告之前或之时归还资金。如此大笔资金不应该从 Kraken 的金库或任何其他交易所中挪用。

信任在哪里找到立足之地

作为一个行业，我们应该团结一致，互相照顾，不管负面新闻会给竞争对手带来多大的关注。

我们的行业面临着大量恶意黑客的攻击。幸运的是，即使在出现这种令人失望的情况后，我们仍在继续改进安全产品和实践，同时创新也在稳步推进。

行业层面的合作至关重要，竞争对手之间可以共享私密而有价值的信息，因为安全最终是一项团队运动。

只有所有“好人”之间都相互信任，我们的行业才能向前发展。事实上，这不应该是“我们”与“他们”之间的对立——我们都在为共同利益而努力，我们必须首先牢记这一点。