Navegando Confiança e Responsabilidade no White Hat Hacking: Um Olhar Mais Atento ao Cenário CertiK-Kraken
Summary:
O artigo explora o delicado equilíbrio de confiança entre empresas de segurança cibernética e fornecedores no contexto do white hat hacking, discutindo um incidente entre os especialistas em segurança CertiK e a empresa de troca de ativos digitais Kraken. O incidente envolveu uma vulnerabilidade de segurança descoberta pela CertiK na funcionalidade de saldo de câmbio e depósito da Kraken. A situação complicada ressaltou o papel e as responsabilidades dos hackers éticos, enfatizando o relato oportuno de descobertas críticas e não iniciando mais exploração. A peça sugere que esse trabalho colaborativo e confiança são essenciais para melhorar as práticas de segurança em todo o setor.
O campo do hacking ético, muitas vezes denominado como white hat hacking, é um elemento vital na manutenção da segurança cibernética. Servindo como uma ferramenta para "mocinhos" cibernéticos, essa forma de hacking oferece uma maneira de quebrar aplicativos, descobrir falhas de segurança e utilizar essas descobertas para fortalecer a força geral de segurança do sistema. Sua aplicação abrange vários setores, incluindo blockchain, armazenamento em nuvem, inteligência artificial e segurança de sistemas operacionais, entre outros. Em cada cenário, desenvolveu-se um vínculo intrincado e robusto entre fornecedores e especialistas em segurança, baseado em um equilíbrio de confiança matizado. Empresas como Trail of Bits, Halborn e Open Zeppelin têm examinado e corrigido uma série de contratos inteligentes, mantendo um registro profissional impecável que aumenta a confiança.
A discussão surgiu entre a CertiK e a Kraken em 17 de maio, quando os pesquisadores da CertiK descobriram uma lacuna de segurança na computação de saldo e na funcionalidade de depósito da Bolsa de Ativos Digitais da Kraken. O Kraken Security Squad reconheceu como um assunto grave e conseguiu retificá-lo em 47 minutos. Embora pareça inofensiva na superfície, tal vulnerabilidade pode permitir que os cibercriminosos realizem uma ação de "gasto duplo" - enganando uma exchange para aceitar um depósito falso. Uma vez que o saldo seja atualizado por engano, eles podem se virar e retirar o valor equivalente. Isso drenaria fundos da carteira do tesouro da bolsa, como um banco.
A CertiK divulgou uma lista de transações de depósito fraudulentas, demonstrando a exploração desta vulnerabilidade 20 vezes ao longo de cinco dias como supostos "testes" das habilidades de detecção do Kraken. Na sequência deste incidente, todos os fundos deslocados durante esta suposta fase de "testes" foram novamente depositados na Kraken, exceto para um pequeno segmento que foi esgotado em taxas.
Apesar de ter evidências claras de função, a equipe da CertiK deveria ter alertado a Kraken sobre o problema imediatamente, evitando novas manipulações da lacuna de segurança.
O white hat hacking é um domínio sensível com o objetivo principal de aumentar a segurança do aplicativo, garantindo confiança e transparência sem impor uma ameaça à operação de negócios do fornecedor. No entanto, hackers white hat cortejam uma certa quantidade de publicidade e, com ambições equivocadas, podem, em vez disso, sensacionalizar suas descobertas para chamar a atenção, resultando em tensão. Os hackers éticos são obrigados a divulgar suas descobertas prontamente com uma prova mínima de conceito, mitigando distúrbios aos negócios dos fornecedores. Testes de penetração não convidados durante um período de quatro dias após a prova de conceito bem-sucedida da CertiK são um exemplo do que não fazer. Evidentemente, os fundos deveriam ter sido devolvidos à Kraken imediatamente ou no momento do relatório inicial - um montante tão substancial nunca deveria ter sido retirado.
Do ponto de vista da indústria, é vital mostrar solidariedade e proteger uns aos outros contra os danos potenciais de manchetes ou rivalidades prejudiciais. Com um alto volume de hackers maliciosos para se defender, estamos melhorando nossos produtos e procedimentos de segurança, avançando consistentemente com soluções pioneiras. A colaboração dentro da indústria é fundamental, pois leva à troca de informações significativas e inestimáveis e, como dizem, a segurança é um jogo de equipe. A confiança entre os "mocinhos" é fundamental para o progresso e nunca deve ser um caso de "nós contra eles". Todos nós almejamos um bem comum e devemos enfatizar esse ponto sempre.
O autor Shahar Madar é vice-presidente de segurança e confiança da Fireblocks. As opiniões compartilhadas neste artigo são exclusivamente as do autor e não refletem as visões e opiniões do Cointelegraph. É apenas para fins informativos e não constitui aconselhamento jurídico ou de investimento.
Published At
6/28/2024 11:48:06 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.