• 白帽黑客是網絡安全的重要組成部分，但它也可能帶來爭議——正如最近 CertiK 與 Kraken 的糾紛所表明的那樣。

白帽黑客，或道德黑客，是網絡安全的重要組成部分。這種黑客行爲允許“好人”剖析應用程序、向供應商報告安全漏洞，並利用這些信息改善生態系統的安全態勢。

這不是區塊鏈獨有的概念。它存在於雲、人工智能、操作系統安全等各個地方。

然而，在所有情況下，供應商和安全研究人員都基於信任的平衡行爲建立了一種微妙而強大的關係。

在區塊鏈領域，Trail of Bits、Halborn 和 Open Zeppelin 等審計機構多年來一直在分析和修復各種智能合約，並以最高的專業精神運作，建立了強烈的信任感。

CertiK 與 Kraken 的爭議

5月17日，CertiK的研究人員發現Kraken數字資產交易所餘額計算和存款機制存在漏洞。

CertiK 最近在 @krakenfx 交易所中發現了一系列嚴重漏洞，可能會導致數億美元的損失。

從@krakenfx 存款系統中發現的問題開始，它可能無法區分不同的內部......pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) 2024 年 6 月 19 日

Kraken 安全團隊正確地將其定義爲嚴重問題，並報告稱已在 47 分鐘內解決。

雖然乍一看似乎無害，但這種漏洞卻允許攻擊者“雙重支付”，這意味着他們有能力僞造存款進入交易所。

一旦他們在交易所的餘額錯誤更新，他們就會轉身並提取相同金額。

此行爲將從交易所的主要金庫錢包中取出資金（大多數中心化交易所使用這個錢包來管理託管資金，類似於銀行）。

CertiK 還公佈了虛假存款交易清單，五天內至少利用該漏洞 20 次，同時聲稱他們只是在測試 Kraken 的檢測機制。

在有了可行的概念驗證之後，CertiK 研究人員應該立即向 Kraken 報告該問題並停止對該漏洞的進一步利用。

儘管如此，自事件發生以來，除了少量費用損失外，這次所謂“測試”期間獲取的所有資金都已退還給 Kraken。

道德黑客框架

白帽黑客行爲十分微妙。

目標是增強應用程序安全性，確保信任和透明度，同時不危及供應商的業務。

然而，潛在的事實是，白帽黑客往往受公關驅動，並懷有錯誤的動機，瞄準最醒目的標題。

例如，“CertiK 在無人注意的情況下從 Kraken 手中拿走了 300 萬美元”這個標題比“研究人員在 Kraken 中發現了一個關鍵漏洞並節省了數百萬美元”更有趣。

這就是緊張局勢加劇的地方。有道德的研究人員應該儘快報告他們的發現，並提供最精簡的概念驗證，以免供應商的業務受到干擾。

唯一的例外是當供應商邀請研究人員進行滲透測試時，在這種情況下他們會就測試範圍和行爲準則達成一致。

不幸的是，情況並非如此，因爲在 CertiK 成功進行概念驗證後，“未經請求的”滲透測試仍持續了四天。

CertiK 應該在首次報告之前或之時歸還資金。如此大筆資金不應該從 Kraken 的金庫或任何其他交易所中挪用。

信任在哪裏找到立足之地

作爲一個行業，我們應該團結一致，互相照顧，不管負面新聞會給競爭對手帶來多大的關注。

我們的行業面臨着大量惡意黑客的攻擊。幸運的是，即使在出現這種令人失望的情況後，我們仍在繼續改進安全產品和實踐，同時創新也在穩步推進。

行業層面的合作至關重要，競爭對手之間可以共享私密而有價值的信息，因爲安全最終是一項團隊運動。

只有所有“好人”之間都相互信任，我們的行業才能向前發展。事實上，這不應該是“我們”與“他們”之間的對立——我們都在爲共同利益而努力，我們必須首先牢記這一點。