Navigare tra fiducia e responsabilità nell'hacking white hat: uno sguardo più da vicino allo scenario CertiK-Kraken
Summary:
L'articolo esplora il delicato equilibrio di fiducia tra le aziende di sicurezza informatica e i fornitori nel contesto dell'hacking white hat, discutendo di un incidente tra gli esperti di sicurezza CertiK e la società di scambio di asset digitali Kraken. L'incidente ha riguardato una vulnerabilità di sicurezza scoperta da CertiK nella funzionalità di saldo e deposito dell'exchange di Kraken. La complicata situazione ha sottolineato il ruolo e le responsabilità degli hacker etici, sottolineando la segnalazione tempestiva dei risultati critici e non avviando ulteriori sfruttamenti. L'articolo suggerisce che tale lavoro collaborativo e fiducia sono essenziali per migliorare le pratiche di sicurezza a livello di settore.
Il campo dell'hacking etico, spesso definito come hacking white hat, è un elemento vitale per mantenere la sicurezza informatica. Fungendo da strumento per i "bravi ragazzi" informatici, questa forma di hacking offre un modo per abbattere le applicazioni, scoprire falle di sicurezza e utilizzare questi risultati per rafforzare la forza di sicurezza complessiva del sistema. La sua applicazione spazia in vari settori, tra cui blockchain, cloud storage, intelligenza artificiale e sicurezza del sistema operativo, tra gli altri. In ogni scenario, si è sviluppato un legame intricato ma solido tra fornitori ed esperti di sicurezza, fondato su un equilibrio di fiducia sfumato. Aziende come Trail of Bits, Halborn e Open Zeppelin hanno esaminato e corretto una serie di contratti intelligenti, mantenendo un record professionale impeccabile che aumenta la fiducia.
La discussione è nata tra CertiK e Kraken il 17 maggio, quando i ricercatori di CertiK hanno portato alla luce una falla di sicurezza nella funzionalità di calcolo del saldo e di deposito del Digital Asset Exchange di Kraken. La squadra di sicurezza del Kraken ha riconosciuto che si trattava di una questione grave ed è riuscita a correggerla in 47 minuti. Sebbene sembri innocua in superficie, una tale vulnerabilità potrebbe consentire ai criminali informatici di eseguire un'azione di "doppia spesa", inducendo un exchange ad accettare un falso deposito. Una volta che il saldo si aggiorna erroneamente, potrebbero tornare indietro e prelevare l'importo equivalente. Ciò drenerebbe fondi dal portafoglio di tesoreria dell'exchange, proprio come una banca.
CertiK ha divulgato un elenco di transazioni di deposito fraudolente, dimostrando lo sfruttamento di questa vulnerabilità 20 volte in cinque giorni come presunti "test" delle capacità di rilevamento di Kraken. A seguito di questo incidente, tutti i fondi spostati durante questa presunta fase di "test" sono stati ridepositati in Kraken, ad eccezione di un piccolo segmento che è stato impoverito in commissioni.
Nonostante la chiara evidenza del funzionamento, il team di CertiK avrebbe dovuto avvisare immediatamente Kraken in merito al problema, astenendosi da ulteriori manipolazioni della falla di sicurezza.
L'hacking white hat è un dominio sensibile con l'obiettivo principale di aumentare la sicurezza delle app, garantendo fiducia e trasparenza senza imporre una minaccia alle operazioni commerciali del fornitore. Tuttavia, gli hacker white hat corteggiano una certa quantità di pubblicità e con ambizioni fuorvianti possono invece sensazionalizzare le loro scoperte per attirare l'attenzione, con conseguente tensione. Gli hacker etici sono tenuti a divulgare prontamente le loro scoperte con un proof-of-concept minimo, mitigando i disturbi alle attività dei fornitori. I penetr test non invitati per un periodo di quattro giorni dopo il successo del proof-of-concept di CertiK sono un esempio di cosa non fare. Evidentemente, i fondi avrebbero dovuto essere restituiti a Kraken immediatamente o al momento della segnalazione iniziale: una somma così consistente non avrebbe mai dovuto essere prelevata.
Dal punto di vista del settore, è fondamentale mostrare solidarietà e proteggersi a vicenda dai potenziali danni di titoli o rivalità dannose. Con un elevato numero di hacker malintenzionati da respingere, stiamo migliorando i nostri prodotti e le nostre procedure di sicurezza, procedendo costantemente con soluzioni pionieristiche. La collaborazione all'interno del settore è fondamentale in quanto porta allo scambio di informazioni significative e preziose e, come si suol dire, la sicurezza è un gioco di squadra. La fiducia tra i "buoni" è fondamentale per il progresso e non dovrebbe mai essere un caso di "noi contro di loro". Puntiamo tutti a un bene comune e dobbiamo insistere sempre su questo punto.
L'autore Shahar Madar è il vicepresidente della sicurezza e della fiducia di Fireblocks. Le opinioni condivise in questo articolo sono esclusivamente quelle dell'autore e non riflettono i punti di vista e le opinioni di Cointelegraph. È solo a scopo informativo e non costituisce una consulenza legale o di investimento.
Published At
6/28/2024 11:48:06 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.