Advogado Web3: CertiK, uma empresa de segurança criptográfica, e Kraken estão se enfrentando. Os chapéus brancos também podem se tornar chapéus negros?

A indústria de encriptação é realmente emocionante. Agora, a briga entre o unicórnio de segurança de encriptação CertiK e a principal exchange americana Kraken me deixou confuso.

A situação é mais ou menos assim: A CertiK descobriu uma grave vulnerabilidade durante o seu processo de teste de segurança, que envolve a possibilidade de aumentar artificialmente o saldo da conta de criptografia na plataforma Kraken e espera acionar o limite de alerta da Kraken por meio do teste. No entanto, a Kraken afirmou que a ação da CertiK vai além do escopo típico de pesquisa de segurança e acusa a CertiK de extorsão, alegando que eles estão se aproveitando da vulnerabilidade para obter lucro.

De acordo com a CertiK, os seus testes revelaram várias vulnerabilidades de segurança no sistema Kraken que, se não forem corrigidas, podem resultar em perdas de centenas de milhões de dólares. A CertiK enfatiza que a sua ação visa fortalecer a segurança da rede, proteger os interesses de todos os usuários e tornou pública a linha do tempo completa dos testes e os endereços de depósito relevantes para provar a sua transparência e integridade.

Kraken e seu CSO Nick Percoco enfatizaram através das redes sociais e declarações públicas que seu programa de recompensas por falhas de segurança tem regras claras e exige que todos os pesquisadores que descobrirem falhas sigam essas regras. A Kraken também afirmou que o comportamento da CertiK representou uma ameaça direta à segurança de sua plataforma e relatou o incidente às autoridades.

Este confronto não só envolve questões técnicas e de segurança, mas também toca os limites legais e éticos, especialmente no que diz respeito às atividades de hacker de chapéu branco e às responsabilidades. Isso fornece um contexto rico e uma base para discussão para o advogado Mankun explorar ainda mais o escopo legal dos hackers de chapéu branco.

As ações dos hackers de chapéu branco são legais?

Os hackers de chapéu branco na cadeia ajudam empresas e organizações a estabelecer um ambiente de rede mais seguro, descobrindo e corrigindo falhas, aumentando assim a confiabilidade e a credibilidade da rede, e contribuindo positivamente para a segurança e a estabilidade de toda a cadeia.

Esse comportamento de cobrar recompensas afetará a avaliação dos hackers de chapéu branco? As recompensas, como um mecanismo eficaz de incentivo, podem atrair mais talentos para o campo da segurança cibernética, melhorando assim a segurança da indústria como um todo. Para empresas e organizações, também é uma forma de correção de vulnerabilidades com bom custo-benefício, ao mesmo tempo em que promove a imagem de importância dada à segurança cibernética pelas empresas. Portanto, é geralmente aceite na indústria que os hackers de chapéu branco cobrem honorários razoáveis.

**Desta vez, a CertiK é um hacker de chapéu branco?

Numa das discussões entre CertiK e Kraken, uma das questões centrais é o problema de limites de ação do CertiK. As ações do CertiK, em particular a motivação e a legalidade de transferir 3 milhões de dólares para uma carteira externa, tornaram-se o ponto de discórdia.

Comportamento não transparente

A CertiK é uma empresa de segurança parceira da Kraken e está ciente do programa de recompensas da Kraken para vulnerabilidades de segurança, podendo garantir total autorização antes de iniciar os testes. Ao mesmo tempo, de acordo com a comunidade e a divulgação da Kraken, quando a CertiK relatou a vulnerabilidade, não mencionou uma quantidade específica de transferência, mas após a Kraken emitir um reembolso de $3M, divulgou seu “endereço de teste completo” para provar que não transferiu a quantia acusada pela Kraken.

A transferência de fundos é um fato

De acordo com Kraken e a declaração da Detetive na Cadeia @0xBoboShanti, os pesquisadores de segurança da CertiK já realizaram investigações e testes em 27 de maio, o que contradiz o cronograma do evento da CertiK. Ao mesmo tempo, em testes de vulnerabilidade posteriores, embora a CertiK alegue que as operações foram realizadas para testar se o sistema de alarme do Kraken pode ser acionado a tempo, na prática, esse teste não se limitou a descobrir vulnerabilidades, a CertiK também transferiu fundos para um endereço de carteira independente. Essa ação vai além do escopo normal de testes de segurança. Foi revelado que a CertiK já realizou a mesma operação em várias exchanges, e também usou o Tornado Cash para transferir ativos e o ChangeNOW para vendê-los.

Ambas as situações provavelmente ultrapassaram os limites do comportamento do hacker de chapéu branco.

A definição legal é crucial

Do ponto de vista legal, as ações dos hackers de chapéu branco geralmente são consideradas legais, desde que essas ações estejam em conformidade com certas normas e condições.

Nos Estados Unidos, as leis mais relevantes relacionadas às atividades de hacker de chapéu branco são principalmente a Lei de Fraude e Abuso de Computador (CFAA). De acordo com a CFAA, qualquer acesso não autorizado ou acesso a um computador protegido além do escopo da autorização pode constituir um crime. Para os hackers de chapéu branco, suas ações geralmente precisam ser realizadas dentro dos limites explicitamente autorizados, caso contrário, mesmo que seja para fins de teste de segurança, pode violar a CFAA. Além disso, com o avanço da tecnologia, algumas regiões também estão gradualmente estabelecendo regulamentações mais específicas para orientar e proteger as ações dos hackers de chapéu branco.

Na China, a Lei de Segurança Cibernética estabelece claramente a exigência geral de fortalecer a proteção da segurança cibernética e reforçar a gestão do ciberespaço. Isso significa que a invasão cibernética, mesmo que seja para fins de teste de segurança, pode ser considerada uma atividade ilegal; ao mesmo tempo, a lei de segurança enfatiza a proteção dos dados pessoais e da privacidade. Qualquer operação que envolva dados pessoais em testes de rede deve garantir a segurança e a não violação da privacidade dos dados; após a descoberta de vulnerabilidades de segurança, é responsabilidade relatar prontamente à agência de gestão de segurança cibernética e aos operadores de rede afetados. Esse mecanismo de relatório visa corrigir as vulnerabilidades de forma oportuna e evitar seu uso indevido.

No entanto, na indústria Web3.0, os testes de alguns hackers de chapéu branco também podem envolver a transferência de fundos, mas geralmente são feitos com a permissão do projeto (por exemplo, o projeto possui subsídios relacionados), ou transferindo os fundos criptográficos para uma carteira independente específica para armazenamento (sem mais operações), e depois relatando a vulnerabilidade e recebendo recompensas do projeto, o que também é considerado um comportamento estabelecido na indústria.

No entanto, no caso da CertiK, a transferência real de fundos, especialmente as operações subsequentes, levantou questões legais complexas. Por um lado, está a questão de saber se a CertiK transferiu os fundos por motivos pessoais; por outro lado, a CertiK não cumpriu claramente os requisitos da Kraken para os hackers de chapéu branco, ao transferir os fundos para provar novamente a mesma falha; além disso, as operações subsequentes com os fundos transferidos podem ser consideradas ganho ilegal. Além disso, a forma como a CertiK lida com a situação após a ocorrência, incluindo a comunicação e coordenação com a Kraken, também afetará a avaliação legal de suas ações.

Conclusão e Reflexão

Embora a controvérsia entre Kraken e CertiK seja claramente um problema legal nos Estados Unidos, o advogado Manquan não pode expressar opiniões sob a lei dos Estados Unidos. No entanto, se isso acontecesse sob a lei chinesa, as ações da CertiK provavelmente não escapariam das acusações de chantagem e invasão ilegal de sistemas de computador.

De fato, hackers de chapéu branco podem ‘se tornar pretos’ em certas situações. Mesmo que a intenção inicial seja melhorar a segurança do sistema, se eles testarem sem autorização adequada ou usarem vulnerabilidades encontradas para benefício pessoal, essas ações já se afastaram dos padrões legais e éticos dos hackers de chapéu branco. Como demonstrado nos casos CertiK e Kraken, se houver transferência de fundos sem autorização, especialmente em grandes quantias, mesmo que seja para fins de teste, isso pode ser considerado uma ação de hacker preto.