Navegando por la confianza y la responsabilidad en el hackeo de sombrero blanco: una mirada más cercana al escenario de CertiK-Kraken
Summary:
El artículo explora el delicado equilibrio de confianza entre las empresas de ciberseguridad y los proveedores en el contexto de la piratería de sombrero blanco, discutiendo un incidente entre los expertos en seguridad CertiK y la empresa de intercambio de activos digitales Kraken. El incidente involucró una vulnerabilidad de seguridad descubierta por CertiK en el saldo de intercambio y la funcionalidad de depósito de Kraken. La complicada situación puso de relieve el papel y las responsabilidades de los hackers éticos, haciendo hincapié en la notificación oportuna de los hallazgos críticos y en el hecho de que no se iniciaran más explotaciones. El artículo sugiere que este trabajo colaborativo y la confianza son esenciales para mejorar las prácticas de seguridad en toda la industria.
El campo del hacking ético, a menudo denominado white hat hacking, es un elemento vital para mantener la ciberseguridad. Esta forma de piratería, que sirve como herramienta para los "buenos" cibernéticos, ofrece una forma de desglosar aplicaciones, descubrir fallos de seguridad y utilizar estos hallazgos para fortalecer la seguridad general del sistema. Su aplicación abarca varios sectores, como blockchain, almacenamiento en la nube, inteligencia artificial y seguridad de sistemas operativos, entre otros. En cada escenario, se ha desarrollado un vínculo intrincado pero sólido entre los proveedores y los expertos en seguridad, basado en un equilibrio matizado de confianza. Firmas como Trail of Bits, Halborn y Open Zeppelin han estado examinando y arreglando una serie de contratos inteligentes, manteniendo un historial profesional impecable que mejora la confianza.
El 17 de mayo surgió una discusión entre CertiK y Kraken cuando los investigadores de CertiK descubrieron una brecha de seguridad en la funcionalidad de cálculo de saldo y depósito de Digital Asset Exchange de Kraken. El Escuadrón de Seguridad Kraken lo reconoció como un asunto grave y logró rectificarlo en 47 minutos. Aunque parece inofensivo a primera vista, una vulnerabilidad de este tipo podría permitir a los ciberdelincuentes llevar a cabo una acción de "doble gasto": engañar a un exchange para que acepte un depósito falso. Una vez que el saldo se actualiza por error, podrían darse la vuelta y retirar la cantidad equivalente. Esto drenaría los fondos de la billetera de tesorería del exchange, al igual que un banco.
CertiK reveló una lista de transacciones de depósito fraudulentas, demostrando la explotación de esta vulnerabilidad 20 veces durante cinco días como supuestas "pruebas" de las capacidades de detección de Kraken. A raíz de este incidente, todos los fondos desplazados durante esta supuesta fase de "prueba" se han vuelto a depositar en Kraken, excepto un pequeño segmento que se agotó en tarifas.
A pesar de tener una clara evidencia de funcionamiento, el equipo de CertiK debería haber alertado a Kraken sobre el problema de inmediato, absteniéndose de seguir manipulando la brecha de seguridad.
La piratería de sombrero blanco es un dominio sensible con el objetivo principal de aumentar la seguridad de las aplicaciones, garantizando la confianza y la transparencia sin imponer una amenaza para el funcionamiento comercial del proveedor. Sin embargo, los hackers de sombrero blanco cortejan una cierta cantidad de publicidad y, con ambiciones equivocadas, pueden sensacionalizar sus descubrimientos para llamar la atención, lo que genera tensión. Los hackers éticos están obligados a revelar sus hallazgos con prontitud con una prueba de concepto mínima, mitigando las perturbaciones en los negocios de los proveedores. Las pruebas de penetración no invitadas durante un período de cuatro días después de la prueba de concepto exitosa de CertiK son un ejemplo de lo que no se debe hacer. Evidentemente, los fondos deberían haber sido devueltos a Kraken inmediatamente o en el momento del informe inicial, ya que nunca se debería haber retirado una suma tan sustancial.
Desde el punto de vista de la industria, es vital mostrar solidaridad y protegerse mutuamente contra los posibles daños de los titulares dañinos o las rivalidades. Con un gran volumen de hackers malintencionados de los que defendernos, estamos mejorando nuestros productos y procedimientos de seguridad, avanzando constantemente con soluciones pioneras. La colaboración dentro de la industria es clave, ya que conduce al intercambio de información significativa e invaluable y, como dicen, la seguridad es un juego de equipo. La confianza entre los "buenos" es fundamental para el progreso y nunca debería ser un caso de "nosotros contra ellos". Todos aspiramos a un bien común y debemos insistir siempre en este punto.
El autor, Shahar Madar, es el vicepresidente de seguridad y confianza de Fireblocks. Los puntos de vista compartidos en este artículo son únicamente los del autor y no reflejan los puntos de vista y opiniones de Cointelegraph. Es solo para fines informativos y no constituye asesoramiento legal o de inversión.
Published At
6/28/2024 11:48:06 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.