撰文:金鑑智,上海曼昆律師事務所資深律師
加密行業的撕逼真精彩。這不,加密安全獨角獸 CertiK 和美國超級交易所 Kraken 的掰頭,讓筆者變成了瓜田的猹。
事情大約是這樣的:CertiK 在其安全測試過程中發現了一個嚴重的漏洞,涉及到在 Kraken 平臺上人爲增加加密交易賬戶餘額的可能性,並希望通過測試觸達 Kraken 的報警提示閾值。然而,Kraken 對此表示,CertiK 的行爲超出了一般安全研究的範圍,涉嫌利用漏洞獲利,因此指責 CertiK 進行了敲詐行爲。
根據 CertiK 的說法,他們的測試揭示了 Kraken 系統中的多個安全漏洞,這些漏洞未經修復可能導致數億美元的損失。CertiK 強調,他們的行爲是爲了加強網絡安全,保護所有用戶的利益,並公開了完整的測試時間線和相關的存款地址,以證明他們的透明度和誠信 。
Kraken 及其 CSO Nick Percoco 則通過社交媒體和公開聲明強調,他們的漏洞賞金計劃有明確的規則,並要求所有發現漏洞的研究員遵守這些規則。Kraken 還表示,CertiK 的行爲已經構成了對其平臺安全的直接威脅,並已向執法機構報告了這一事件 。
這場對峙不僅涉及技術和安全問題,也觸及到了法律和道德的邊界,特別是關於白帽黑客活動的界限和責任。這爲曼昆律師進一步探討白帽黑客的法律尺度提供了豐富的背景和討論基礎。
01 白帽黑客的行爲合法嗎?
從嚴格的行爲上而言,白帽黑客的行爲和非法侵入計算機系統非常的相似。但在絕大多數情況下是不會給予白帽黑客違法犯罪的法律評價。因爲白帽黑客的目的、行爲過程使其與違法犯罪行爲有着本質區別。
鏈上的白帽黑客通過發現和修補漏洞,幫助企業和組織建立更安全的網絡環境,從而增強網絡的可靠性和可信度,爲整個鏈上的安全性和穩定性都做出了積極貢獻。
那收取報酬的行爲是否會影響對白帽黑客的評價?報酬作爲一種有效的激勵機制,可以吸引更多人才投入網絡安全領域,從而提升整個行業的安全性,對於企業和組織來說,也是一種高性價的漏洞修復方式,同時,也能樹立企業重視網絡安全的形象。因此,白帽黑客收取合理費用一般屬於行業的約定俗成。
02 這一次,CertiK 是白帽黑客嗎?
在 CertiK 與 Kraken 之間的掰扯中,核心問題之一是 CertiK 的行爲邊界問題。CertiK 的行爲,特別是向外部錢包轉移 300 萬美元資金的動機和法律性,成爲了爭論的焦點。
行爲並不透明
CertiK 是 Kraken 合作的安全公司,並且明知 Kraken 設有針對安全漏洞的賞金計劃,完全可以在開始測試之前確保獲得充分的授權。與此同時,據社區及 Kraken 披露,CertiK 報告漏洞時,並未提及具體轉移數量,而是在 Kraken 發出「退還 $3M」後,披露自己「全部測試地址」,以證明自己未轉走 Kraken 指控的金額。
資金轉移是事實
根據 Kraken 以及鏈上偵探@0xBoboShanti 的陳述,早在 5 月 27 日就有 CertiK 安全研究人員進行了探測和測試,這與 CertiK 的事件時間表產生了矛盾。與此同時,在後續的漏洞測試中,儘管 CertiK 聲稱所進行的操作是爲了測試 Kraken 的報警系統是否能及時觸發,然而在實際操作時,這種測試不僅僅停留在發現漏洞,CertiK 還將金額轉移到了獨立錢包地址。這一行爲超出了常規的安全測試範圍。據披露,此前 CertiK 已經對多個交易所進行了相同操作,並且還使用過 Tornado Cash 轉移資產以及 ChangeNOW 進行拋售。
以上兩個情況大概率已經超越了白帽黑客的行爲邊界。
03 法律界定成關鍵
從法律角度來看,白帽黑客的行爲通常被視爲合法,但前提是這些行爲符合一定的規範和條件。
在美國,與白帽黑客活動密切相關的法律主要包括《計算機欺詐與濫用法案》(CFAA)。根據 CFAA,任何未經授權訪問或超出授權範圍訪問保護計算機的行爲都可能構成犯罪。對於白帽黑客而言,他們的行爲通常需要在明確獲得授權的範圍內進行,否則即便是出於安全測試的目的,也可能違反 CFAA。此外,隨着技術的發展,一些地區也逐漸形成了更具體的規定來指導和保護白帽黑客的行爲。
而在中國,《網絡安全法》也明確了增強網絡安全防護和加強網絡空間管理的總體要求。這意味着網絡入侵,即使是出於安全測試的目的,也可能被視爲非法行爲;同時,安全法強調了個人數據和隱私的保護。任何在網絡測試中涉及個人數據的操作,必須確保數據的安全和隱私不被侵犯;發現安全漏洞後,有責任及時向網絡安全管理機構和受影響的網絡運營商報告。這種報告機制旨在及時修補漏洞,防止漏洞被濫用。
不過在 Web3.0 行業,部分白帽黑客的測試也會涉及到轉移資金的行爲,但通常會在項目默許的情況下(比如項目有相關 grants),或者將加密資金轉移至特定的獨立錢包做存儲(不再進行下一步操作),進而提報漏洞並獲取項目方贈與的報酬,這也算是行業約定俗成的行爲。
然而,在 CertiK 的案例中,資金的實際轉移,尤其是後續操作引發了法律上的複雜問題。一方面是 CertiK 是否因私利動機而進行了資金轉移;一方面是 CertiK 並未遵守 Kraken 對於白帽黑客的明確要求,而是通過轉移資金再次證明同一個漏洞;另一方面是其後續對轉賬資金的操作,可能被視爲非法獲利。此外,CertiK 在行爲後的處理方式,包括與 Kraken 的溝通和協調,也會影響其行爲的法律評估。
04 結論與反思
雖然 Kraken 和 CertiK 這場爭議完完全全是個美國法律問題,曼昆律師也不好發表美國法下的觀點。但假設發生在中國法下,CertiK 的行爲恐怕也難逃敲詐勒索和非法侵入計算機系統的指控。
確實,白帽黑客在某些情況下也可能「變黑」。即使最初的意圖是爲了增強系統的安全,但如果他們在沒有適當授權的情況下進行測試,或者爲了私人利益而利用發現的漏洞,這些行爲就已經偏離了白帽黑客的法律以及倫理標準。正如 CertiK 與 Kraken 事件所展示的,如果未經授權進行資金轉移行爲,尤其是在涉及鉅額資金時,即便是出於測試目的,也可能被視爲黑帽行爲。
