Юрист Web3: CertiK, компания по криптографической безопасности, и Kraken взаимно разрывают друг другу горло. Белые шляпы могут стать черными?

Отрасль шифрования действительно захватывающая. Вот именно, разборки между шифровальным безопасным единорогом CertiK и американской супербиржей Kraken превратили меня в раздавленную дыню.

Ситуация примерно такая: в процессе своего тестирования безопасности CertiK обнаружила серьезную уязвимость, связанную с возможностью искусственного увеличения баланса криптовалютного счета на платформе Kraken, и надеялась, что ее тестирование приведет к достижению порога сигнализации Kraken. Однако Kraken заявил, что поведение CertiK выходит за рамки обычных исследований безопасности и подозревает их в использовании уязвимости в своих интересах, поэтому обвиняет CertiK в шантаже.

По словам CertiK, их тестирование выявило несколько уязвимостей безопасности в системе Kraken, которые, если не будут устранены, могут привести к потере сотен миллионов долларов. CertiK подчеркивает, что их действия направлены на укрепление безопасности сети и защиту интересов всех пользователей, а также публично опубликовали полный график тестирования и связанные с ним депозитные адреса, что подтверждает их прозрачность и честность.

Крейкен и его главный технический директор Ник Перкоко подчеркивают через социальные сети и публичные заявления, что их программа вознаграждений за уязвимости имеет четкие правила и требует, чтобы все исследователи, обнаружившие уязвимости, следовали этим правилам. Крейкен также заявляет, что действия CertiK непосредственно угрожают безопасности его платформы и уже сообщил об этом инстанциям правопорядка.

Этот конфликт затрагивает не только технические и безопасностные вопросы, но и касается границ закона и морали, особенно в отношении ответственности и пределов активности хакеров в белой шляпе. Это обеспечивает богатый контекст и основу для обсуждения юридических рамок деятельности хакеров в белой шляпе для адвоката Манкуна.

**хакер в белой шляпе действует законно?

в блокчейне хакер в белой шляпе через обнаружение и устранение уязвимостей помогает предприятиям и организациям создать более безопасную сетевую среду, тем самым повышая надежность и доверие к сети, и делает активный вклад в общую безопасность и стабильность в блокчейне.

Влияет ли получение вознаграждения на оценку хакера в белой шляпе? Вознаграждение как эффективный механизм стимулирования может привлечь больше талантов в область кибербезопасности, что повысит общую безопасность отрасли. Для предприятий и организаций это также является эффективным способом исправления уязвимостей по выгодной цене и способом сформировать образ предприятия, которое серьезно относится к кибербезопасности. Поэтому обычно принято, что хакеры в белой шляпе получают разумное вознаграждение.

На этот раз CertiK — это хакер в белой шляпе?

В одной из дискуссий между CertiK и Kraken одной из основных проблем является проблема границ поведения CertiK. Поведение CertiK, особенно мотивация и законность перевода 3 миллионов долларов во внешний кошелек, стало центром спора.

Непрозрачное поведение

CertiK — это компания, занимающаяся безопасностью, с которой работает Kraken, и, зная, что Kraken имеет свеча с длинным фитилем Программа вознаграждений на нарушения безопасности, вполне возможно убедиться, что она полностью авторизована перед началом тестирования. В то же время, по словам сообщества и Kraken, когда CertiK сообщил об уязвимости, он не упомянул конкретное количество переводов, но раскрыл свой «полный тестовый адрес» после того, как Kraken выдал «возврат в размере 3 миллионов долларов», чтобы доказать, что он не переводил сумму, заявленную Kraken.

Перенос средств - это факт

Согласно заявлению Kraken и исследованию в блокчейне от @0xBoboShanti, еще 27 мая исследователи по безопасности CertiK провели обнаружение и тестирование, что противоречит графику событий CertiK. В то же время, в последующем тестировании уязвимостей, хотя CertiK заявляет, что их действия направлены на проверку того, сработает ли система тревоги Kraken вовремя, однако при реальном выполнении эти тесты выходят за рамки обнаружения уязвимости, и CertiK также перемещает средства на отдельный адрес кошелька. Это выходит за рамки обычного диапазона тестирования безопасности. Согласно раскрытым данным, ранее CertiK проводил такие же действия на нескольких биржах, а также использовал Tornado Cash для перемещения активов и ChangeNOW для продажи.

Вероятно, оба этих случая вышли за пределы поведенческих границ хакера в белой шляпе.

Определение закона является ключевым

С юридической точки зрения, действия белых хакеров обычно считаются законными, при условии, что эти действия соответствуют определенным стандартам и условиям.

В США законы, тесно связанные с деятельностью хакеров в белой шляпе, в основном включают Закон о мошенничестве и злоупотреблении компьютерами (CFAA). Согласно CFAA, любые действия по несанкционированному доступу или превышению разрешений к защищенному компьютеру могут быть признаны преступными. Для хакеров в белой шляпе их действия обычно должны осуществляться в рамках явно полученных разрешений, иначе даже в целях тестирования безопасности это может нарушить CFAA. Кроме того, с развитием технологий некоторые регионы также постепенно формируют более конкретные нормы для регулирования и защиты деятельности хакеров в белой шляпе.

В Китае закон о кибербезопасности четко определяет общие требования к усилению защиты кибербезопасности и усилению управления киберпространством. Это означает, что даже в случае целей безопасности взлом сети может быть признан незаконным; в то же время закон о безопасности подчеркивает защиту персональных данных и конфиденциальности. Любые операции с персональными данными в ходе тестирования сети должны обеспечивать безопасность данных и защиту конфиденциальности; после обнаружения уязвимостей несет ответственность за своевременное информирование управляющего органа по кибербезопасности и затронутого интернет-провайдера. Эта система отчетности направлена на своевременное устранение уязвимостей и предотвращение их злоупотребления.

Однако в индустрии Web3.0 некоторые белые хакеры также могут проводить тестирование, связанное с перемещением средств, но обычно это происходит с согласия проекта (например, если в проекте есть соответствующие гранты), или с переводом криптовалюты на определенный независимый кошелек для хранения (без последующих действий), после чего сообщают об уязвимости и получают вознаграждение от проекта, что также является устоявшейся практикой в отрасли.

Однако в случае CertiK фактический перевод средств, особенно последующие действия, вызвали сложные юридические вопросы. С одной стороны, возникает вопрос, является ли перевод средств CertiK мотивированным личной выгодой; с другой стороны, CertiK не соблюдал явные требования Kraken к белым хакерам, а скорее подтвердил ту же самую уязвимость через перевод средств; и, наконец, последующие действия по обработке переводов могут быть признаны незаконным обогащением. Кроме того, способ, которым CertiK обработал эту ситуацию, включая общение и согласование с Kraken, также будет влиять на юридическую оценку его действий.

Вывод и размышления

Хотя спор между Kraken и CertiK является полностью американским правовым вопросом, адвокат Манкун не может высказывать свою позицию по американскому законодательству. Однако, если это произошло бы в рамках китайского закона, поведение CertiK, вероятно, не смогло бы избежать обвинений в шантаже и незаконном вторжении в компьютерные системы.

Действительно, хакеры в белой шляпе в некоторых случаях также могут “перейти на тёмную сторону”. Даже если изначальное намерение заключалось в укреплении безопасности системы, но если они проводят тестирование без должного разрешения или используют обнаруженные уязвимости в личных целях, то такие действия уже отклоняются от законных и этических стандартов хакеров в белой шляпе. Как показали события с CertiK и Kraken, несанкционированные действия по переводу средств, особенно в случае больших сумм, даже в тестовых целях, могут быть рассмотрены как действия хакера в черной шляпе.