محامٍ ويب 3: شركة الأمان المشفرة CertiK وKraken تتمزقان، هل القبعة البيضاء قد تصبح قبعة سوداء؟

صناعة التشفير مثيرة حقا. لا ، لقد كسر وحيد القرن الأمني التشفير CertiK والتبادلات الأمريكية الفائقة Kraken الرؤوس ، مما جعل المؤلف حقل بطيخ.

القصة تقريبًا كما يلي: اكتشفت CertiK ثغرة خطيرة خلال عملية اختبار الأمان الخاصة بها، تتعلق بإمكانية زيادة رصيد حساب التداول المشفر بشكل اصطناعي على منصة Kraken، وتأمل في تجاوز عتبة تنبيه Kraken من خلال الاختبار. ومع ذلك، اعتبر Kraken أن سلوك CertiK تجاوز نطاق الأبحاث الأمنية العامة، ويشتبه في استغلال الثغرة للربح، وبالتالي اتهم CertiK بممارسة الابتزاز.

وفقًا لما ذكرته CertiK، كشفت اختباراتهم عن عدة ثغرات أمنية في نظام Kraken، والتي قد تؤدي إلى خسائر تصل إلى مليارات الدولارات في حال لم يتم إصلاحها. وأكدت CertiK أن تصرفاتهم تهدف إلى تعزيز أمان الشبكة وحماية مصالح جميع المستخدمين، وقد قاموا بنشر الجدول الزمني الكامل للاختبارات وعناوين الإيداع ذات الصلة لإثبات شفافيتهم ونزاهتهم.

Kraken و CSO Nick Percoco يؤكدان عبر وسائل التواصل الاجتماعي والبيانات العلنية أن برنامج مكافأة الثغرات لديهم لديه قواعد واضحة ويطلبون من جميع الباحثين الذين يكتشفون الثغرات الالتزام بهذه القواعد. وأشار Kraken أيضًا إلى أن سلوك CertiK قد شكل تهديدًا مباشرًا لأمان منصتهم وقد قاموا بالإبلاغ عن هذا الحدث إلى الجهات الرسمية.

هذا الصراع يشمل ليس فقط المسائل التقنية والأمنية، بل يمس أيضًا حدود القانون والأخلاق، خاصة فيما يتعلق بنشاط الهاكر الأبيض والمسؤولية. يوفر هذا خلفية غنية وأساس للنقاش للمحامي مانكين لمزيد من استكشاف المعايير القانونية للهاكر الأبيض.

هل سلوك القبعة البيضاء قانوني؟

داخل السلسلة الهاكر القبعة البيضاء يساعد في اكتشاف وإصلاح الثغرات لمساعدة الشركات والمؤسسات في بناء بيئة شبكية أكثر أمانًا، مما يعزز موثوقية الشبكة ومصداقيتها، ويساهم بشكل إيجابي في أمان واستقرار السلسلة بأكملها.

هل يؤثر سحب الأجرة على تقييم الهاكر الأبيض؟ إن الأجرة بوصفها آلية تحفيز فعالة يمكن أن تجذب المزيد من المواهب للاستثمار في مجال أمن الشبكات، وبالتالي تعزيز أمان الصناعة بأكملها. بالنسبة للشركات والمؤسسات، فإنها أيضًا طريقة فعالة من حيث التكلفة لإصلاح الثغرات، وفي الوقت نفسه، يمكن أن تبرز صورة الشركة كمهتمة بأمان الشبكة. لذلك، تُعتبر رسوم الهاكر الأبيض المعقولة مشتركة في الصناعة.

هل كان CertiK هاكر أبيض هذه المرة؟

في جدل بين CertiK و Kraken، أحد المشاكل الرئيسية هو ** مشكلة حدود سلوك CertiK **. أصبح سلوك CertiK، بما في ذلك دوافعها وقانونيتها في تحويل 3 ملايين دولار من الأموال إلى المحفظة الخارجية، محور الجدل.

السلوك غير شفاف

CertiK هي شركة أمنية تعمل معها Kraken ، ومعرفة أن Kraken لديها شمعة طويلة الفتيل برنامج المكافأة للانتهاكات الأمنية ، فمن الممكن تماما التأكد من أنها مصرح بها بالكامل قبل بدء الاختبار. في الوقت نفسه ، وفقا للمجتمع و Kraken ، عندما أبلغت CertiK عن الثغرة الأمنية ، لم تذكر العدد المحدد للتحويلات ، لكنها كشفت عن “عنوان الاختبار الكامل” بعد أن أصدرت Kraken “استردادا قدره 3 ملايين دولار” لإثبات أنها لم تقم بتحويل المبلغ المزعوم من قبل Kraken.

نقل الأموال حقيقة

وفقًا لكراكن وتصريحات محقق سلسلة الكتل @0xBoboShanti ، فقد قام فريق بحث الأمان في CertiK بالكشف والاختبار بالفعل في 27 مايو ، وهذا يتعارض مع جدول زمني لأحداث CertiK. في الوقت نفسه ، خلال الاختبارات اللاحقة للثغرات ، على الرغم من ادعاء CertiK أن العمليات التي قاموا بها كانت لاختبار ما إذا كان نظام التنبيه في Kraken يمكنه الاستجابة في الوقت المناسب ، إلا أن هذا الاختبار ، في الواقع ، لم يقتصر فقط على اكتشاف الثغرات ، بل قام CertiK أيضًا بتحويل الأموال إلى عنوان محفظة مستقل. هذا السلوك تجاوز نطاق الاختبار الآمن العادي. وفقًا للكشف ، قام CertiK سابقًا بنفس العمليات على عدة تبادلات ، وقاموا أيضًا باستخدام Tornado Cash لنقل الأصول واستخدام ChangeNOW للبيع.

من المحتمل أن تكون الحالتان المذكورتان أعلاه قد تجاوزتا الحدود السلوكية لقراصنة القبعة البيضاء.

التعريف القانوني هو المفتاح

من الناحية القانونية، يُعتبر تصرف الهاكر الأبيض عادةً قانونيًا، ولكن بشرط أن تتوافق هذه التصرفات مع معايير وشروط معينة.

في الولايات المتحدة ، تشمل القوانين المرتبطة ارتباطا وثيقا بنشاطات قبعة بيضاء القرصنة الحاسوبية بشكل رئيسي قانون الاحتيال وسوء الاستخدام الحاسوبي (CFAA). وفقًا لـ CFAA ، يمكن أن تشكل أي سلوك غير مصرح به للوصول إلى الكمبيوتر المحمي أو تجاوز نطاق الاختصاص جريمة. بالنسبة لقبعة بيضاء القراصنة الحاسوبية ، يتعين عليهم عادةً القيام بأنشطتهم ضمن نطاق الاختصاص المحدد بوضوح ، وإلا فإنهم قد يخالفون CFAA حتى لو كان الهدف هو اختبار الأمان. بالإضافة إلى ذلك ، مع تطور التكنولوجيا ، بدأت بعض المناطق في وضع تعليمات أكثر تحديدًا لتوجيه وحماية أنشطة قبعة بيضاء القراصنة الحاسوبية.

في الصين، أوضحت “قانون الأمن السيبراني” أيضًا متطلبات تعزيز الحماية الأمنية للشبكة وتعزيز إدارة الفضاء السيبراني بشكل عام. وهذا يعني أن اختراق الشبكة، حتى لو كان لأغراض اختبار الأمن، قد يعتبر تصرفًا غير قانونيًا؛ في الوقت نفسه، يؤكد القانون على حماية البيانات الشخصية والخصوصية. يجب ضمان أمان البيانات وعدم انتهاك الخصوصية عند أي عملية تتعلق ببيانات شخصية في اختبار الشبكة؛ بعد اكتشاف ثغرات أمنية، يتحمل المسؤولية إبلاغ الهيئة المسؤولة عن إدارة الأمن السيبراني ومشغلي الشبكة المتأثرة في الوقت المناسب. يهدف هذا الآلية التقريرية إلى سد الثغرات في الوقت المناسب ومنع سوء استخدامها.

ومع ذلك، في صناعة Web3.0، قد تشمل اختبارات بعض الهاكر القبعة البيضاء أيضًا تحويل الأموال، ولكن عادة ما يتم ذلك بموافقة المشروع (مثل وجود منح ذات الصلة للمشروع)، أو نقل الأموال المشفرة إلى محفظة مستقلة معينة للتخزين (دون إجراء خطوة تالية)، وبذلك يتم الإبلاغ عن الثغرات والحصول على مكافأة من الجهة المشروعة، وهذا أيضًا يُعتبر سلوكًا متفق عليه في الصناعة.

ومع ذلك ، فقد أثارت عملية نقل الأموال الفعلية في حالة CertiK مسائل قانونية معقدة ، خاصة فيما يتعلق بالعمليات التالية. من ناحية واحدة ، هل قامت CertiK بتحويل الأموال لأغراض شخصية ؛ من ناحية أخرى ، لم يتم الامتثال CertiK لمتطلبات Kraken المحددة للقبعة البيضاء للقراصنة ، ولكنها قامت بتحويل الأموال لإثبات نفس الثغرة مرة أخرى ؛ ومن ناحية أخرى ، قد يتم اعتبار عملياتها اللاحقة على الأموال المحولة ككسب غير قانوني. بالإضافة إلى ذلك ، فإن طريقة التعامل معها من قبل CertiK بعد العملية ، بما في ذلك التواصل والتنسيق مع Kraken ، قد تؤثر أيضًا على التقييم القانوني لتلك السلوكيات.

الاستنتاج والتأمل

على الرغم من أن الخلاف بين Kraken و CertiK هو مسألة قانونية أمريكية بالكامل، إلا أن من الصعب على المحامي مانكوين أن يعبر عن وجهة نظره تحت القانون الأمريكي. ولكن في حالة حدوثها بموجب القانون الصيني، فإن سلوك CertiK قد لا يتجنب تهم الابتزاز والاختراق غير القانوني لأنظمة الكمبيوتر.

بالفعل، قد يتحول هاكر القبعة البيضاء إلى “التحول الأسود” في بعض الحالات. حتى لو كانت النية الأصلية هي تعزيز أمان النظام، إلا أنه إذا قاموا بالاختبار دون الحصول على إذن مناسب، أو استغلوا الثغرات المكتشفة لأغراض شخصية، فقد انحرفت هذه الأفعال عن المعايير القانونية والأخلاقية لهاكر القبعة البيضاء. كما أظهرت حالتا CertiK وKraken، إذا تمت عمليات نقل الأموال دون إذن، خاصة عندما يتعلق الأمر بمبالغ ضخمة، حتى لو كان الغرض من ذلك الاختبار، فإنه يمكن أن يُعتبر سلوكًا أسود.