Básico
Spot
Opera con criptomonedas libremente
Margen
Multiplica tus beneficios con el apalancamiento
Convertir e Inversión automática
0 Fees
Opera cualquier volumen sin tarifas ni deslizamiento
ETF
Obtén exposición a posiciones apalancadas de forma sencilla
Trading premercado
Opera nuevos tokens antes de su listado
Contrato
Accede a cientos de contratos perpetuos
TradFi
Oro
Plataforma global de activos tradicionales
Opciones
Hot
Opera con opciones estándar al estilo europeo
Cuenta unificada
Maximiza la eficacia de tu capital
Trading de prueba
Introducción al trading de futuros
Prepárate para operar con futuros
Eventos de futuros
Únete a eventos para ganar recompensas
Trading de prueba
Usa fondos virtuales para probar el trading sin asumir riesgos
Lanzamiento
CandyDrop
Acumula golosinas para ganar airdrops
Launchpool
Staking rápido, ¡gana nuevos tokens con potencial!
HODLer Airdrop
Holdea GT y consigue airdrops enormes gratis
Launchpad
Anticípate a los demás en el próximo gran proyecto de tokens
Puntos Alpha
Opera activos on-chain y recibe airdrops
Puntos de futuros
Gana puntos de futuros y reclama recompensas de airdrop
Inversión
Simple Earn
Genera intereses con los tokens inactivos
Inversión automática
Invierte automáticamente de forma regular
Inversión dual
Aprovecha la volatilidad del mercado
Staking flexible
Gana recompensas con el staking flexible
Préstamo de criptomonedas
0 Fees
Usa tu cripto como garantía y pide otra en préstamo
Centro de préstamos
Centro de préstamos integral
Centro de patrimonio VIP
Planes de aumento patrimonial prémium
Gestión patrimonial privada
Asignación de activos prémium
Quant Fund
Estrategias cuantitativas de alto nivel
Staking
Haz staking de criptomonedas para ganar en productos PoS
Apalancamiento inteligente
New
Apalancamiento sin liquidación
Acuñación de GUSD
Acuña GUSD y gana rentabilidad de RWA
Más
Abogado de Web3: CertiK, una empresa de seguridad encriptada, se pelea con Kraken, ¿los sombreros blancos también se convierten en sombreros negros?
La industria de la encriptación es realmente emocionante. De hecho, el enfrentamiento entre el unicornio de la seguridad encriptada, CertiK, y el superintercambio Kraken de EE. UU. me ha dejado perplejo.
La situación es más o menos la siguiente: CertiK descubrió una vulnerabilidad grave durante su proceso de prueba de seguridad, que involucra la posibilidad de aumentar artificialmente el saldo de la cuenta de criptomonedas en la plataforma de Kraken, y esperaba activar el umbral de alerta de Kraken a través de la prueba. Sin embargo, Kraken afirmó que la acción de CertiK estaba fuera del alcance habitual de la investigación de seguridad, sospechando que se estaba aprovechando de la vulnerabilidad con fines lucrativos, y acusando a CertiK de extorsión.
Según CertiK, sus pruebas revelaron múltiples vulnerabilidades de seguridad en el sistema de Kraken que, de no ser reparadas, podrían resultar en pérdidas de cientos de millones de dólares. CertiK enfatizó que su acción se realizó para fortalecer la seguridad en la red, proteger los intereses de todos los usuarios, y publicó una línea de tiempo completa de las pruebas y las direcciones de depósito relevantes para demostrar su transparencia e integridad.
Kraken y su CSO Nick Percoco enfatizan a través de las redes sociales y declaraciones públicas que su programa de recompensas por fallos tiene reglas claras y exige que todos los investigadores que descubran fallos cumplan con estas reglas. Kraken también afirma que el comportamiento de CertiK ha representado una amenaza directa para la seguridad de su plataforma y que ha informado a las autoridades correspondientes sobre este evento.
Este enfrentamiento no solo implica cuestiones técnicas y de seguridad, sino que también toca los límites legales y éticos, especialmente en lo que respecta a la actividad de hacker de sombrero blanco y su responsabilidad. Esto proporciona un rico contexto y base de discusión para que el abogado Mankun explore aún más el marco legal de los hackers de sombrero blanco.
¿Es legal el comportamiento de los hackers de sombrero blanco?
Los hackers de sombrero blanco en la cadena de bloques ayudan a las empresas y organizaciones a establecer un entorno de red más seguro mediante la identificación y reparación de vulnerabilidades, lo que aumenta la fiabilidad y confianza en la red y contribuye positivamente a la seguridad y estabilidad en toda la cadena.
¿La acción de cobrar una recompensa afectará la evaluación de los hackers de sombrero blanco? Las recompensas como un mecanismo de incentivo efectivo pueden atraer más talentos al campo de la seguridad en línea, mejorando así la seguridad de toda la industria. También es una forma rentable para que las empresas y organizaciones reparen vulnerabilidades y establezcan su imagen como empresa que valora la seguridad en línea. Por lo tanto, generalmente se acepta que los hackers de sombrero blanco cobren una tarifa razonable como práctica común en la industria.
¿Es CertiK un hacker de sombrero blanco esta vez?
En el debate entre CertiK y Kraken, uno de los problemas centrales es el problema de límites de comportamiento de CertiK. El comportamiento de CertiK, especialmente el motivo y la legalidad de transferir 3 millones de dólares a una billetera externa, se ha convertido en el foco de la controversia.
Comportamiento no transparente
CertiK es una empresa de seguridad asociada con Kraken y es consciente del programa de recompensas por vulnerabilidades de seguridad que tiene Kraken, por lo que puede asegurarse de obtener una autorización completa antes de comenzar las pruebas. Al mismo tiempo, según la comunidad y la divulgación de Kraken, cuando CertiK informó sobre la vulnerabilidad, no mencionó una cantidad específica de transferencia, sino que después de que Kraken emitiera el reembolso de $3M, reveló todas sus direcciones de prueba para demostrar que no había transferido la cantidad alegada por Kraken.
La transferencia de fondos es un hecho
Según las declaraciones de Kraken y el investigador on-chain @0xBoboShanti, los investigadores de seguridad de CertiK llevaron a cabo pruebas y pruebas tan temprano como el 27 de mayo, lo que entra en conflicto con el cronograma de eventos de CertiK. Al mismo tiempo, en pruebas posteriores de vulnerabilidades, a pesar de que CertiK afirmó que las operaciones se realizaron para probar si el sistema de alerta de Kraken podía activarse a tiempo, en la práctica, estas pruebas no se limitaron a descubrir vulnerabilidades, CertiK también transfirió fondos a una dirección de billetera independiente. Esta acción va más allá del alcance de las pruebas de seguridad habituales. Se reveló que CertiK había realizado la misma operación en varios intercambios anteriormente, y también había utilizado Tornado Cash para transferir activos y ChangeNOW para vender.
Ambos casos probablemente han trascendido los límites de comportamiento de los hackers de sombrero blanco.
La definición legal es clave
Desde el punto de vista legal, las acciones de los hacker de sombrero blanco generalmente se consideran legales, pero siempre que estas acciones cumplan con ciertos estándares y condiciones.
En los Estados Unidos, las leyes relacionadas con las actividades de los hackers de sombrero blanco incluyen principalmente la Ley de Fraude y Abuso Informático (CFAA). Según la CFAA, cualquier acción de acceso no autorizado o acceso que exceda los límites autorizados a una computadora protegida puede constituir un delito. Para los hackers de sombrero blanco, sus acciones generalmente deben realizarse dentro de los límites claramente autorizados; de lo contrario, incluso con fines de pruebas de seguridad, podrían violar la CFAA. Además, con el avance de la tecnología, algunas regiones también están desarrollando regulaciones más específicas para guiar y proteger las acciones de los hackers de sombrero blanco.
Y en China, la Ley de Seguridad de la Red también establece claramente los requisitos generales para mejorar la protección de la seguridad de la red y fortalecer la gestión del ciberespacio. Esto significa que la intrusión en la red, incluso con fines de pruebas de seguridad, puede considerarse una actividad ilegal; al mismo tiempo, la ley de seguridad enfatiza la protección de los datos personales y la privacidad. Cualquier operación que involucre datos personales en las pruebas de red debe garantizar la seguridad y la privacidad de los datos sin violarlos; después de descubrir una vulnerabilidad de seguridad, se tiene la responsabilidad de informar de inmediato a la agencia de gestión de seguridad de la red y a los proveedores de servicios de red afectados. Este mecanismo de informe tiene como objetivo reparar rápidamente las vulnerabilidades y evitar su abuso.
Sin embargo, en la industria de Web3.0, las pruebas realizadas por algunos hackers de sombrero blanco también pueden involucrar la transferencia de fondos, pero generalmente se realizan con el consentimiento del proyecto (por ejemplo, si el proyecto tiene subvenciones relacionadas) o transfiriendo los fondos encriptados a una billetera independiente específica para su almacenamiento (sin realizar más acciones) y luego informando sobre la vulnerabilidad para recibir una recompensa otorgada por el proyecto. Esto también se considera una práctica común en la industria.
Sin embargo, en el caso de CertiK, la transferencia real de fondos, especialmente las operaciones posteriores, ha generado complicaciones legales. Por un lado, se cuestiona si CertiK realizó la transferencia de fondos por motivos de interés propio; por otro lado, CertiK no cumplió con los requisitos claros de Kraken para los hackers de sombrero blanco, sino que demostró el mismo error al transferir los fondos nuevamente; y por otro lado, las operaciones posteriores con los fondos transferidos pueden considerarse como ganancias ilícitas. Además, la forma en que CertiK ha tratado el asunto después de los hechos, incluyendo la comunicación y coordinación con Kraken, también puede afectar la evaluación legal de su comportamiento.
Conclusión y reflexión
Aunque la controversia entre Kraken y CertiK es claramente un problema legal en Estados Unidos, el abogado Manquen no puede expresar su opinión sobre la ley estadounidense. Sin embargo, si esto ocurriera bajo la ley china, es probable que las acciones de CertiK enfrenten acusaciones de extorsión y acceso ilegal a sistemas informáticos.
Es cierto que los hackers de sombrero blanco también pueden “volverse negros” en algunos casos. Incluso si la intención original era mejorar la seguridad del sistema, si prueban sin la debida autorización o explotan las vulnerabilidades descubiertas para beneficio privado, estas acciones ya se desvían de los estándares legales y éticos de los hackers de sombrero blanco. Como demuestra el incidente de CertiK vs. Kraken, las transferencias de dinero no autorizadas, especialmente cuando se trata de grandes sumas de dinero, pueden considerarse un comportamiento de sombrero negro, incluso con fines de prueba.