Web3 pengacara: Perusahaan keamanan enkripsi CertiK dan Kraken saling serang, topi putih juga bisa berubah menjadi topi hitam?

Perselisihan di industri enkripsi benar-benar menarik. Sekarang, CertiK, startup keamanan enkripsi dan bursa terkenal Kraken di Amerika Serikat sedang bertengkar, membuat saya merasa seperti sedang berada di tengah perseteruan antara dua belah pihak.

Kejadiannya kira-kira seperti ini: CertiK menemukan sebuah kerentanan serius dalam proses pengujian keamanannya, yang melibatkan kemungkinan untuk secara artifisial meningkatkan saldo akun perdagangan enkripsi di platform Kraken, dan berharap untuk mencapai ambang batas peringatan Kraken melalui pengujian. Namun, Kraken menyatakan bahwa tindakan CertiK melampaui jangkauan penelitian keamanan umum, diduga memanfaatkan kerentanan untuk keuntungan pribadi, dan oleh karena itu menuduh CertiK melakukan pemerasan.

Menurut CertiK, pengujian mereka mengungkapkan beberapa kerentanan keamanan dalam sistem Kraken yang belum diperbaiki dan dapat mengakibatkan kerugian miliaran dolar. CertiK menekankan bahwa tindakan mereka bertujuan untuk memperkuat keamanan jaringan, melindungi kepentingan semua pengguna, dan telah mempublikasikan garis waktu pengujian lengkap dan alamat deposit terkait untuk membuktikan transparansi dan integritas mereka.

Kraken dan CSO-nya Nick Percoco menekankan melalui media sosial dan pernyataan publik bahwa program bounty mereka memiliki aturan yang jelas dan meminta semua peneliti yang menemukan kerentanan untuk mematuhi aturan tersebut. Kraken juga menyatakan bahwa tindakan CertiK telah menjadi ancaman langsung terhadap keamanan platform mereka dan telah melaporkan kejadian ini ke otoritas penegak hukum.

Konfrontasi ini tidak hanya melibatkan masalah teknis dan keamanan, tetapi juga menyentuh batas hukum dan moral, terutama dalam hal batas dan tanggung jawab aktivitas white hat hacker. Ini memberikan latar belakang dan dasar diskusi yang kaya bagi pengacara Manquin untuk lebih jauh mengeksplorasi skala hukum white hat hacker.

**Apakah tindakan white hat hacker legal?

on-chain white hat hacker melalui penemuan dan perbaikan kerentanan, membantu perusahaan dan organisasi membangun lingkungan jaringan yang lebih aman, sehingga meningkatkan keandalan dan kepercayaan jaringan, dan memberikan kontribusi positif untuk keamanan dan stabilitas keseluruhan rantai.

Apakah tindakan pengambilan bayaran akan memengaruhi penilaian terhadap white hat hacker? Bayaran sebagai mekanisme insentif yang efektif dapat menarik lebih banyak bakat untuk terlibat dalam bidang keamanan jaringan, sehingga meningkatkan keselamatan keseluruhan industri, juga merupakan cara yang efisien dan berharga bagi perusahaan dan organisasi untuk memperbaiki kerentanan, sambil juga memperkuat citra perusahaan yang peduli pada keamanan jaringan. Oleh karena itu, biaya yang wajar yang diterima oleh white hat hacker umumnya diatur oleh konvensi industri.

Kali ini, apakah CertiK merupakan white hat hacker?

Dalam pertikaian antara CertiK dan Kraken, salah satu isu inti adalah masalah batas perilaku CertiK. Tindakan CertiK, khususnya motivasi dan legalitas transfer dana sebesar 3 juta dolar ke dompet eksternal, menjadi pusat perdebatan.

Perilaku Tidak Transparan

CertiK adalah perusahaan keamanan yang bekerja sama dengan Kraken, dan mengetahui dengan jelas bahwa Kraken memiliki program bounty untuk kerentanan keamanan, sehingga dapat memastikan izin yang cukup sebelum memulai pengujian. Sementara itu, menurut komunitas dan pengungkapan dari Kraken, saat CertiK melaporkan kerentanan, mereka tidak menyebutkan jumlah transfer yang spesifik, tetapi setelah Kraken mengeluarkan ‘mengembalikan $3 juta’, mereka mengungkapkan ‘semua alamat uji’, untuk membuktikan bahwa mereka tidak mentransfer jumlah yang dituduhkan oleh Kraken.

Transfer dana adalah kenyataan

Berdasarkan laporan Kraken dan detektif on-chain @0xBoboShanti, pada tanggal 27 Mei CertiK telah melakukan pengujian dan pengujian keamanan, yang bertentangan dengan jadwal kejadian CertiK. Pada saat yang sama, dalam pengujian kerentanan berikutnya, meskipun CertiK mengklaim bahwa tindakan yang mereka lakukan adalah untuk menguji apakah sistem peringatan Kraken dapat dipicu tepat waktu, namun dalam praktiknya, pengujian ini tidak hanya berhenti pada menemukan kerentanan, CertiK juga mentransfer jumlah ke alamat dompet independen. Tindakan ini melampaui cakupan pengujian keamanan biasa. Diketahui bahwa CertiK sebelumnya telah melakukan tindakan yang sama pada beberapa pertukaran, serta menggunakan Tornado Cash untuk mentransfer aset dan menggunakan ChangeNOW untuk menjual.

Kedua kasus di atas kemungkinan besar telah melampaui batas perilaku hacker topi putih.

Definisi hukum adalah kunci

Dari perspektif hukum, tindakan white hat hacker umumnya dianggap legal, tetapi dengan syarat bahwa tindakan tersebut mematuhi standar dan kondisi tertentu.

Di Amerika Serikat, undang-undang yang terkait erat dengan kegiatan white hat hacker utamanya termasuk Undang-Undang Penipuan dan Penyalahgunaan Komputer (CFAA). Menurut CFAA, setiap tindakan yang mengakses komputer yang dilindungi tanpa izin atau melebihi izin yang diberikan dapat dianggap sebagai tindak kriminal. Bagi white hat hacker, tindakan mereka biasanya perlu dilakukan dalam lingkup izin yang jelas, jika tidak, bahkan jika itu untuk tujuan pengujian keamanan, bisa melanggar CFAA. Selain itu, dengan perkembangan teknologi, beberapa wilayah juga mulai membentuk peraturan yang lebih spesifik untuk memandu dan melindungi tindakan white hat hacker.

Di Tiongkok, Undang-Undang Keamanan Siber juga menjelaskan persyaratan keseluruhan untuk memperkuat perlindungan keamanan siber dan memperkuat pengelolaan short siber. Ini berarti bahwa intrusi dunia maya, bahkan untuk tujuan pengujian keamanan, dapat dianggap ilegal; Pada saat yang sama, undang-undang keamanan menekankan perlindungan data pribadi dan privasi. Setiap operasi yang melibatkan data pribadi dalam pengujian jaringan harus memastikan bahwa keamanan dan privasi data tidak dilanggar; Merupakan tanggung jawab untuk segera melaporkan pelanggaran keamanan kepada otoritas keamanan siber dan operator jaringan yang terpengaruh ketika ditemukan. Mekanisme pelaporan ini dirancang untuk menambal kerentanan secara tepat waktu dan mencegahnya disalahgunakan.

Namun di industri Web3.0, sebagian pengujian white hat hacker juga melibatkan transfer dana, namun biasanya dilakukan dengan izin proyek (misalnya, proyek memiliki hibah terkait), atau mentransfer dana enkripsi ke dompet independen tertentu untuk disimpan (tanpa melanjutkan tindakan selanjutnya), kemudian melaporkan kerentanan dan mendapatkan imbalan dari pihak proyek, ini juga dianggap sebagai perilaku yang telah menjadi konvensi dalam industri.

Namun, dalam kasus CertiK, transfer dana yang sebenarnya, terutama tindakan lanjutan, telah menimbulkan masalah hukum yang kompleks. Di satu sisi, apakah CertiK melakukan transfer dana karena motif pribadi; di sisi lain, CertiK tidak mematuhi persyaratan eksplisit Kraken untuk white hat hacker, tetapi dengan mentransfer dana, mereka sekali lagi membuktikan kerentanan yang sama; di sisi lain, tindakan mereka terhadap dana transfer berikutnya mungkin dianggap sebagai keuntungan ilegal. Selain itu, cara CertiK menangani situasi setelahnya, termasuk komunikasi dan koordinasi dengan Kraken, juga akan memengaruhi penilaian hukum atas perilakunya.

Kesimpulan dan Refleksi

Meskipun perselisihan antara Kraken dan CertiK sepenuhnya merupakan masalah hukum Amerika, Mann-Quinn sebagai seorang pengacara tidak dapat mengemukakan pendapat tentang hukum Amerika. Namun, jika hal ini terjadi di bawah hukum China, tindakan CertiK mungkin sulit terhindar dari tuduhan pemerasan dan penetapan ilegal ke dalam sistem komputer.

Memang benar bahwa peretas topi putih juga bisa “menjadi hitam” dalam beberapa kasus. Bahkan jika niat awalnya adalah untuk meningkatkan keamanan sistem, jika mereka menguji tanpa otorisasi yang tepat, atau mengeksploitasi kerentanan yang ditemukan untuk keuntungan pribadi, tindakan ini sudah menyimpang dari standar hukum dan etika peretas topi putih. Seperti yang ditunjukkan oleh insiden CertiK vs. Kraken, transfer uang yang tidak sah, terutama ketika sejumlah besar uang terlibat, dapat dianggap sebagai perilaku topi hitam, bahkan untuk tujuan pengujian.