暗号化業界の攻防は非常に興味深いです。さて、暗号化セキュリティのユニコーンCertiKとアメリカのスーパー取引所Krakenの衝突により、筆者はまんまと巻き込まれました。
事の経緯は以下の通りです:CertiKは、セキュリティテスト中に、Krakenプラットフォームで暗号化取引口座の残高を人為的に増やす可能性について深刻な欠陥を発見し、テストを通じてKrakenに警告トリガーを通知することを望んでいました。 しかし、Krakenは、CertiKの行為が一般的なセキュリティ研究を超えており、欠陥を悪用して利益を得た疑いがあるため、CertiKが恐喝行為を行ったと非難しています。
CertiKの説明によれば、彼らのテストは、Krakenシステムに存在する複数のセキュリティの脆弱性を明らかにしました。これらの脆弱性が修正されない場合、数十億ドルの損失を引き起こす可能性があります。CertiKは、ネットワークのセキュリティを強化し、すべてのユーザーの利益を保護するために行動したと強調し、完全なテストのタイムラインと関連するデポジットアドレスを公開して透明性と信頼性を証明しました。
Krakenと同社のCSOニック・パーココは、ソーシャルメディアや公式声明を通じて、同社の報酬プログラムには明確なルールがあり、発見されたすべての脆弱性を発見した研究者がこれらのルールに従うことを求めていることを強調しています。Krakenはまた、CertiKの行動が直接同社プラットフォームのセキュリティに対する脅威であるとし、当局にこの事件を報告しました。
この対立は技術とセキュリティの問題だけでなく、法律と倫理の境界にも触れており、特にホワイトハットハッカーの活動の範囲と責任については深い議論があります。これはマンキューン弁護士がホワイトハットハッカーの法的基準をさらに探究するための豊富な背景と議論の基盤を提供しています。
オンチェーンのホワイトハットハッカーは、脆弱性の発見と修復を通じて、企業や組織がより安全なネットワーク環境を構築し、ネットワークの信頼性と信頼性を高め、全体的なオンチェーンのセキュリティと安定性に積極的な貢献をしています。
報酬を受け取ることは、ホワイトハットハッカーの評価に影響を与えるでしょうか?報酬は、より多くの才能をネットワークセキュリティ分野に投入するための効果的な刺激機構として、業界全体のセキュリティを向上させるために役立ちます。企業や組織にとっても、高いコストパフォーマンスの脆弱性修復方法となります。同時に、企業がネットワークセキュリティを重視していることを示すことができます。そのため、ホワイトハットハッカーが適切な料金を請求することは一般的に業界での慣例となっています。
CertiKとKrakenの間の論争の一つには、CertiKの行動の範囲に関する問題があります。CertiKの行動、特に外部ウォレットに300万ドルの資金を移動する動機と法的性質は、議論の焦点となっています。
CertiKはKrakenと提携しているセキュリティ企業であり、Krakenがセキュリティ脆弱性に対する報酬プログラムを設けていることを知っており、テストを開始する前に十分な承認を得ることができます。同時に、コミュニティおよびKrakenの開示によると、CertiKは脆弱性を報告する際に具体的な転送金額を言及せず、Krakenが「$3Mを返金する」と発表した後、自分の「すべてのテストアドレス」を開示して、Krakenの主張する金額を転送していないことを証明しました。
KrakenおよびOn-chain Detective @0xBoboShantiの声明によると、CertiKのセキュリティ研究者は5月27日に検出およびテストを実施しましたが、これはCertiKのイベントスケジュールと矛盾しています。同時に、後続の脆弱性テストでは、CertiKはKrakenのアラートシステムが適切にトリガーされるかどうかをテストするために操作を行ったと主張していますが、実際の操作では、このテストは脆弱性の発見に留まらず、CertiKは資金を独立したウォレットアドレスに移動しました。これは通常のセキュリティテスト範囲を超える行為です。明らかにされたところによると、CertiKは以前にも複数の取引所で同様の操作を行い、Tornado Cashを使用して資産を移動し、ChangeNOWで売却しました。
上記の2つの状況はおそらくホワイトハットハッカーの行動境界を超えています。
法律の観点から見ると、ホワイトハットハッカーの行動は通常合法と見なされますが、前提としてこれらの行動が一定の規範と条件を満たしている必要があります。
米国では、ホワイトハットハッカーの活動と密接に関連する主要な法律には、「コンピュータ詐欺及び乱用法案」(CFAA)が含まれます。CFAAによると、保護されたコンピュータに対して許可なくアクセスしたり、許可範囲を超えたアクセスを行ったりする行為は、犯罪になる可能性があります。ホワイトハットハッカーにとって、彼らの行動は通常、明示的に許可を得た範囲内で行う必要があります。そうでなければ、セキュリティテストの目的であっても、CFAAに違反する可能性があります。また、技術の進化に伴い、一部の地域では、より具体的な規定が形成され、ホワイトハットハッカーの行動を指導・保護するための措置が講じられています。
中国では、「ネットワークセキュリティ法」も、ネットワークセキュリティの強化とネットワーク空間の管理の総合的な要求を明確にしています。これは、セキュリティテストの目的であっても、ネットワーク侵入が違法行為と見なされる可能性があることを意味します。同時に、セキュリティ法は個人データとプライバシーの保護を強調しています。個人データに関連するネットワークテストの操作では、データの安全性とプライバシーの侵害を回避する必要があります。セキュリティホールが発見された場合は、ネットワークセキュリティ管理機関と影響を受けるネットワークオペレーターに迅速に報告する責任があります。この報告メカニズムは、セキュリティホールを迅速に修正し、ホールが乱用されるのを防止することを目的としています。
しかし、Web3.0業界では、一部のホワイトハットハッカーのテストには資金の移動も関与することがありますが、通常はプロジェクトの許可が必要です(たとえば、プロジェクトに関連する助成金がある場合)、または暗号化された資金を特定の独立したウォレットに移動して保存すること(次の手順を実行しない)、その後、脆弱性を報告してプロジェクトチームから報酬を受け取るため、これは業界の慣習とも言えます。
しかし、CertiKのケースでは、資金の実際の移動、特にその後の操作により、法的に複雑な問題が引き起こされました。一方で、CertiKが私利私欲で資金を移動したかどうか、もう一方で、CertiKがKrakenの明確な要求に従わず、資金を移動して同じ脆弱性を再度証明したことがあります。さらに、後続の資金移動に対するCertiKの対応は、違法な利益を得たと見なされる可能性があります。また、CertiKの行動に対する法的評価には、Krakenとのコミュニケーションや調整など、CertiKの行動後の対応方法も影響を与えます。
KrakenとCertiKの論争は完全にアメリカの法律問題であり、マンキン弁護士はアメリカの法律の観点での意見を出すことはできません。しかし、もし中国の法律の下で起こった場合、CertiKの行為は恐らく恐喝およびコンピュータシステムへの不正侵入の告発から逃れることはできないでしょう。
確かに、白帽ハッカーは一部のケースで「黒くなる」可能性もあります。最初の意図がシステムのセキュリティを強化するためであっても、適切な権限なしにテストを行ったり、発見した脆弱性を私的な利益のために利用したりすると、これらの行為は白帽ハッカーの法的および倫理的基準から逸脱しています。CertiKとKrakenの事件が示すように、権限なく資金移動を行う行為、特に巨額の資金が関係する場合、テスト目的であっても、黒帽行為と見なされる可能性があります。
338.01K 人気度
49.96M 人気度
14.3K 人気度
2.11M 人気度
180.93K 人気度
Web3ローヤー: 暗号化セキュリティ企業CertiK とKrakenの争い、ホワイトハットもブラックハットになる可能性?
暗号化業界の攻防は非常に興味深いです。さて、暗号化セキュリティのユニコーンCertiKとアメリカのスーパー取引所Krakenの衝突により、筆者はまんまと巻き込まれました。
事の経緯は以下の通りです:CertiKは、セキュリティテスト中に、Krakenプラットフォームで暗号化取引口座の残高を人為的に増やす可能性について深刻な欠陥を発見し、テストを通じてKrakenに警告トリガーを通知することを望んでいました。 しかし、Krakenは、CertiKの行為が一般的なセキュリティ研究を超えており、欠陥を悪用して利益を得た疑いがあるため、CertiKが恐喝行為を行ったと非難しています。
CertiKの説明によれば、彼らのテストは、Krakenシステムに存在する複数のセキュリティの脆弱性を明らかにしました。これらの脆弱性が修正されない場合、数十億ドルの損失を引き起こす可能性があります。CertiKは、ネットワークのセキュリティを強化し、すべてのユーザーの利益を保護するために行動したと強調し、完全なテストのタイムラインと関連するデポジットアドレスを公開して透明性と信頼性を証明しました。
Krakenと同社のCSOニック・パーココは、ソーシャルメディアや公式声明を通じて、同社の報酬プログラムには明確なルールがあり、発見されたすべての脆弱性を発見した研究者がこれらのルールに従うことを求めていることを強調しています。Krakenはまた、CertiKの行動が直接同社プラットフォームのセキュリティに対する脅威であるとし、当局にこの事件を報告しました。
この対立は技術とセキュリティの問題だけでなく、法律と倫理の境界にも触れており、特にホワイトハットハッカーの活動の範囲と責任については深い議論があります。これはマンキューン弁護士がホワイトハットハッカーの法的基準をさらに探究するための豊富な背景と議論の基盤を提供しています。
白帽黑客の行動は合法ですか?
オンチェーンのホワイトハットハッカーは、脆弱性の発見と修復を通じて、企業や組織がより安全なネットワーク環境を構築し、ネットワークの信頼性と信頼性を高め、全体的なオンチェーンのセキュリティと安定性に積極的な貢献をしています。
報酬を受け取ることは、ホワイトハットハッカーの評価に影響を与えるでしょうか?報酬は、より多くの才能をネットワークセキュリティ分野に投入するための効果的な刺激機構として、業界全体のセキュリティを向上させるために役立ちます。企業や組織にとっても、高いコストパフォーマンスの脆弱性修復方法となります。同時に、企業がネットワークセキュリティを重視していることを示すことができます。そのため、ホワイトハットハッカーが適切な料金を請求することは一般的に業界での慣例となっています。
今回、CertiKはホワイトハットハッカーですか?
CertiKとKrakenの間の論争の一つには、CertiKの行動の範囲に関する問題があります。CertiKの行動、特に外部ウォレットに300万ドルの資金を移動する動機と法的性質は、議論の焦点となっています。
行動は透明ではありません
CertiKはKrakenと提携しているセキュリティ企業であり、Krakenがセキュリティ脆弱性に対する報酬プログラムを設けていることを知っており、テストを開始する前に十分な承認を得ることができます。同時に、コミュニティおよびKrakenの開示によると、CertiKは脆弱性を報告する際に具体的な転送金額を言及せず、Krakenが「$3Mを返金する」と発表した後、自分の「すべてのテストアドレス」を開示して、Krakenの主張する金額を転送していないことを証明しました。
資金の移動は事実です
KrakenおよびOn-chain Detective @0xBoboShantiの声明によると、CertiKのセキュリティ研究者は5月27日に検出およびテストを実施しましたが、これはCertiKのイベントスケジュールと矛盾しています。同時に、後続の脆弱性テストでは、CertiKはKrakenのアラートシステムが適切にトリガーされるかどうかをテストするために操作を行ったと主張していますが、実際の操作では、このテストは脆弱性の発見に留まらず、CertiKは資金を独立したウォレットアドレスに移動しました。これは通常のセキュリティテスト範囲を超える行為です。明らかにされたところによると、CertiKは以前にも複数の取引所で同様の操作を行い、Tornado Cashを使用して資産を移動し、ChangeNOWで売却しました。
上記の2つの状況はおそらくホワイトハットハッカーの行動境界を超えています。
法律の定義が重要です
法律の観点から見ると、ホワイトハットハッカーの行動は通常合法と見なされますが、前提としてこれらの行動が一定の規範と条件を満たしている必要があります。
米国では、ホワイトハットハッカーの活動と密接に関連する主要な法律には、「コンピュータ詐欺及び乱用法案」(CFAA)が含まれます。CFAAによると、保護されたコンピュータに対して許可なくアクセスしたり、許可範囲を超えたアクセスを行ったりする行為は、犯罪になる可能性があります。ホワイトハットハッカーにとって、彼らの行動は通常、明示的に許可を得た範囲内で行う必要があります。そうでなければ、セキュリティテストの目的であっても、CFAAに違反する可能性があります。また、技術の進化に伴い、一部の地域では、より具体的な規定が形成され、ホワイトハットハッカーの行動を指導・保護するための措置が講じられています。
中国では、「ネットワークセキュリティ法」も、ネットワークセキュリティの強化とネットワーク空間の管理の総合的な要求を明確にしています。これは、セキュリティテストの目的であっても、ネットワーク侵入が違法行為と見なされる可能性があることを意味します。同時に、セキュリティ法は個人データとプライバシーの保護を強調しています。個人データに関連するネットワークテストの操作では、データの安全性とプライバシーの侵害を回避する必要があります。セキュリティホールが発見された場合は、ネットワークセキュリティ管理機関と影響を受けるネットワークオペレーターに迅速に報告する責任があります。この報告メカニズムは、セキュリティホールを迅速に修正し、ホールが乱用されるのを防止することを目的としています。
しかし、Web3.0業界では、一部のホワイトハットハッカーのテストには資金の移動も関与することがありますが、通常はプロジェクトの許可が必要です(たとえば、プロジェクトに関連する助成金がある場合)、または暗号化された資金を特定の独立したウォレットに移動して保存すること(次の手順を実行しない)、その後、脆弱性を報告してプロジェクトチームから報酬を受け取るため、これは業界の慣習とも言えます。
しかし、CertiKのケースでは、資金の実際の移動、特にその後の操作により、法的に複雑な問題が引き起こされました。一方で、CertiKが私利私欲で資金を移動したかどうか、もう一方で、CertiKがKrakenの明確な要求に従わず、資金を移動して同じ脆弱性を再度証明したことがあります。さらに、後続の資金移動に対するCertiKの対応は、違法な利益を得たと見なされる可能性があります。また、CertiKの行動に対する法的評価には、Krakenとのコミュニケーションや調整など、CertiKの行動後の対応方法も影響を与えます。
結論と反省
KrakenとCertiKの論争は完全にアメリカの法律問題であり、マンキン弁護士はアメリカの法律の観点での意見を出すことはできません。しかし、もし中国の法律の下で起こった場合、CertiKの行為は恐らく恐喝およびコンピュータシステムへの不正侵入の告発から逃れることはできないでしょう。
確かに、白帽ハッカーは一部のケースで「黒くなる」可能性もあります。最初の意図がシステムのセキュリティを強化するためであっても、適切な権限なしにテストを行ったり、発見した脆弱性を私的な利益のために利用したりすると、これらの行為は白帽ハッカーの法的および倫理的基準から逸脱しています。CertiKとKrakenの事件が示すように、権限なく資金移動を行う行為、特に巨額の資金が関係する場合、テスト目的であっても、黒帽行為と見なされる可能性があります。