Luật sư Web3: Công ty an ninh mã hóa CertiK và Kraken đối đầu, người mũ trắng cũng có thể trở thành mũ đen?

Ngành công nghiệp mã hóa thực sự thú vị. Không, kỳ lân bảo mật mã hóa CertiK và siêu sàn giao dịch Kraken của Mỹ đã phá vỡ đầu, biến tác giả thành một cánh đồng dưa.

Có vẻ như vấn đề là như vậy: Trong quá trình kiểm thử bảo mật, CertiK đã phát hiện một lỗ hổng nghiêm trọng liên quan đến khả năng tăng số dư tài khoản giao dịch mã hóa một cách nhân tạo trên nền tảng Kraken và hy vọng rằng sẽ đạt được ngưỡng cảnh báo của Kraken thông qua bài kiểm tra. Tuy nhiên, Kraken đã cho biết rằng hành vi của CertiK vượt quá phạm vi của nghiên cứu bảo mật thông thường, nghi ngờ rằng họ đã lợi dụng lỗ hổng với mục đích kiếm lợi nên buộc tội CertiK đã thực hiện hành vi tống tiền.

Theo CertiK, các bài kiểm tra của họ đã phát hiện ra nhiều lỗ hổng bảo mật trong hệ thống Kraken, những lỗ hổng này nếu không được khắc phục có thể dẫn đến tổn thất hàng tỷ đô la. CertiK nhấn mạnh rằng hành động của họ nhằm tăng cường an ninh mạng, bảo vệ lợi ích của tất cả người dùng và đã công khai toàn bộ dòng thời gian kiểm tra và địa chỉ gửi tiền liên quan để chứng minh tính minh bạch và lòng trung thành của họ.

Kraken và CSO Nick Percoco của họ đã nhấn mạnh thông qua mạng xã hội và tuyên bố công khai rằng chương trình tiền thưởng săn lỗi của họ có các quy định rõ ràng và yêu cầu tất cả các nhà nghiên cứu phát hiện ra lỗi phải tuân theo những quy định này. Kraken cũng cho biết rằng hành vi của CertiK đã tạo ra mối đe dọa trực tiếp đối với an ninh của nền tảng của họ và đã báo cáo sự việc này cho cơ quan chức năng.

Cuộc đối đầu này không chỉ liên quan đến các vấn đề kỹ thuật và an ninh, mà còn chạm đến ranh giới pháp lý và đạo đức, đặc biệt là giới hạn và trách nhiệm của hoạt động hacker mũ trắng. Điều này cung cấp nền tảng để luật sư Manquan tiếp tục khám phá các tiêu chuẩn pháp lý liên quan đến hoạt động của hacker mũ trắng.

Hành vi của hacker mũ trắng có hợp pháp không?

Hacker mũ trắng trên chuỗi đã đóng góp tích cực cho sự an toàn và ổn định của toàn bộ chuỗi bằng cách phát hiện và vá lỗi, giúp các doanh nghiệp và tổ chức xây dựng một môi trường mạng an toàn hơn, từ đó tăng cường tính đáng tin cậy và tin cậy của mạng.

Hành vi thu phí có ảnh hưởng đến đánh giá về hacker mũ trắng không? Tiền thưởng là một cơ chế khích lệ hiệu quả, có thể thu hút nhiều tài năng hơn tham gia vào lĩnh vực an ninh mạng, từ đó nâng cao an toàn cho toàn ngành công nghiệp, đối với doanh nghiệp và tổ chức, cũng là một cách hiệu quả về giá để sửa lỗi, đồng thời cũng có thể xây dựng hình ảnh doanh nghiệp coi trọng an ninh mạng. Do đó, việc hacker mũ trắng thu phí hợp lý thường thuộc về quy định của ngành.

Lần này, CertiK có phải là hacker mũ trắng không?

Trong cuộc tranh cãi giữa CertiK và Kraken, một trong những vấn đề cốt lõi là vấn đề ranh giới hành vi của CertiK. Hành vi của CertiK, đặc biệt là động cơ và tính hợp pháp của việc chuyển 3 triệu đô la sang ví tiền bên ngoài, đã trở thành tâm điểm tranh luận.

Hành vi không minh bạch

CertiK là một công ty bảo mật mà Kraken hợp tác và biết rằng Kraken có nến bóng dài Chương trình tiền thưởng vi phạm bảo mật, hoàn toàn có thể đảm bảo rằng nó được ủy quyền đầy đủ trước khi bắt đầu thử nghiệm. Đồng thời, theo cộng đồng và Kraken, khi CertiK báo cáo lỗ hổng, họ không đề cập đến số lần chuyển tiền cụ thể, nhưng tiết lộ “địa chỉ thử nghiệm đầy đủ” của mình sau khi Kraken đưa ra “khoản hoàn trả 3 triệu đô la” để chứng minh rằng họ không chuyển số tiền mà Kraken cáo buộc.

Việc chuyển tiền là sự thật

Theo Kraken và nhà điều tra trên chuỗi @0xBoboShanti, những người đã thử nghiệm và kiểm tra vào ngày 27 tháng 5, trái với lịch sử sự kiện của CertiK. Trong khi đó, trong quá trình kiểm tra lỗ hổng tiếp theo, mặc dù CertiK tuyên bố rằng các hoạt động của họ là để kiểm tra hệ thống cảnh báo của Kraken có thể kích hoạt kịp thời, tuy nhiên trong quá trình thực hiện, hành động này không chỉ dừng lại ở việc tìm thấy lỗ hổng, mà CertiK còn chuyển số tiền sang địa chỉ ví độc lập. Hành động này vượt quá phạm vi kiểm tra bảo mật thông thường. Theo tiết lộ, trước đây CertiK đã thực hiện cùng một hoạt động trên nhiều sàn giao dịch khác nhau và còn sử dụng Tornado Cash để chuyển tài sản và ChangeNOW để bán đổ.

Có thể rằng cả hai trường hợp trên đã vượt quá ranh giới hành vi của hacker mũ trắng.

Định nghĩa pháp lý quan trọng

Về mặt pháp lý, hành vi của hacker mũ trắng thường được coi là hợp pháp, tuy nhiên điều kiện là những hành vi này phải tuân thủ các quy chuẩn và điều kiện nhất định.

Tại Hoa Kỳ, các luật liên quan chặt chẽ đến hoạt động của hacker mũ trắng chủ yếu bao gồm Đạo luật Lừa đảo và Lạm dụng Máy tính (CFAA). Theo CFAA, bất kỳ hành vi truy cập máy tính được bảo vệ mà không được ủy quyền hoặc truy cập vượt quá phạm vi được ủy quyền đều có thể xem là tội phạm. Đối với hacker mũ trắng, hành vi của họ thường cần được thực hiện trong phạm vi được ủy quyền rõ ràng, nếu không, thậm chí là vì mục đích kiểm tra bảo mật, cũng có thể vi phạm CFAA. Ngoài ra, với sự phát triển của công nghệ, một số vùng đất cũng dần hình thành các quy định cụ thể hơn để hướng dẫn và bảo vệ hành vi của hacker mũ trắng.

Trong khi đó, ở Trung Quốc, Luật An ninh mạng đã chỉ rõ yêu cầu chung để tăng cường bảo vệ an ninh mạng và quản lý không gian mạng. Điều này có nghĩa là xâm nhập mạng, ngay cả với mục đích kiểm tra an ninh, cũng có thể bị coi là hành vi bất hợp pháp; đồng thời, Luật An ninh cũng nhấn mạnh việc bảo vệ dữ liệu cá nhân và quyền riêng tư. Mọi hoạt động liên quan đến dữ liệu cá nhân trong kiểm tra mạng phải đảm bảo an toàn và không xâm phạm quyền riêng tư; sau khi phát hiện ra lỗ hổng bảo mật, có trách nhiệm báo cáo kịp thời cho cơ quan quản lý an ninh mạng và nhà cung cấp dịch vụ mạng bị ảnh hưởng. Cơ chế báo cáo này nhằm mục đích vá lỗ hổng kịp thời và ngăn chặn việc lợi dụng lỗ hổng.

Tuy nhiên, trong ngành Web3.0, một số hacker mũ trắng cũng thực hiện các hoạt động chuyển tiền, nhưng thường chỉ trong trường hợp được dự án cho phép (ví dụ như có các grants liên quan đến dự án) hoặc chuyển tiền mã hóa vào một ví độc lập cụ thể để lưu trữ (không tiếp tục thực hiện các bước tiếp theo) và sau đó báo cáo lỗ hổng để nhận phần thưởng từ phía dự án, điều này cũng được xem là một hành vi được công nhận trong ngành.

Tuy nhiên, trong trường hợp của CertiK, việc chuyển tiền thực tế, đặc biệt là các hoạt động tiếp theo đã gây ra những vấn đề phức tạp về mặt pháp lý. Một mặt là CertiK có chuyển tiền vì động cơ lợi ích cá nhân hay không; Mặt khác là CertiK không tuân thủ yêu cầu rõ ràng của Kraken đối với hacker mũ trắng, mà lại chứng minh lại lỗ hổng cùng một lần nữa bằng cách chuyển tiền; Mặt khác là cách xử lý các hoạt động sau đó về việc chuyển khoản có thể bị coi là lợi nhuận bất hợp pháp. Ngoài ra, cách CertiK xử lý sau hành động của mình, bao gồm cách liên lạc và điều phối với Kraken, cũng sẽ ảnh hưởng đến đánh giá pháp lý của hành vi của họ.

Kết luận và suy ngẫm

Mặc dù cuộc tranh cãi giữa Kraken và CertiK hoàn toàn là vấn đề pháp luật ở Mỹ, luật sư Man Kuen cũng không thể phát biểu quan điểm dưới pháp luật Mỹ. Nhưng giả sử nó xảy ra dưới pháp luật Trung Quốc, hành vi của CertiK có lẽ cũng không thoát khỏi cáo buộc tống tiền và xâm nhập trái pháp luật vào hệ thống máy tính.

Đúng là hacker mũ trắng cũng có thể “chuyển sang màu đen” trong một số trường hợp. Ngay cả khi mục đích ban đầu là tăng cường bảo mật của hệ thống, nếu họ kiểm tra mà không có sự cho phép thích hợp hoặc khai thác các lỗ hổng được phát hiện cho lợi ích cá nhân, những hành động này đã đi chệch khỏi các tiêu chuẩn pháp lý và đạo đức của tin tặc mũ trắng. Như sự cố CertiK vs. Kraken đã chứng minh, chuyển tiền trái phép, đặc biệt là khi có liên quan đến một khoản tiền lớn, có thể được coi là hành vi mũ đen, ngay cả đối với mục đích thử nghiệm.