Vertrauen und Verantwortlichkeit beim White-Hat-Hacking: Ein genauerer Blick auf das CertiK-Kraken-Szenario
Summary:
Der Artikel untersucht das empfindliche Gleichgewicht des Vertrauens zwischen Cybersicherheitsfirmen und -anbietern im Zusammenhang mit White-Hat-Hacking und diskutiert einen Vorfall zwischen den Sicherheitsexperten CertiK und dem Unternehmen für den Austausch digitaler Vermögenswerte Kraken. Der Vorfall betraf eine Sicherheitslücke, die von CertiK in der Börsenguthaben- und Einzahlungsfunktion von Kraken entdeckt wurde. Die komplizierte Situation unterstrich die Rolle und Verantwortung ethischer Hacker, betonte die rechtzeitige Meldung kritischer Ergebnisse und leitete keine weitere Ausbeutung ein. Der Artikel legt nahe, dass eine solche Zusammenarbeit und ein solches Vertrauen für die Verbesserung der branchenweiten Sicherheitspraktiken unerlässlich sind.
Der Bereich des ethischen Hackings, oft als White-Hat-Hacking bezeichnet, ist ein wichtiges Element für die Aufrechterhaltung der Cybersicherheit. Diese Form des Hackings dient als Werkzeug für Cyber-"Gute" und bietet eine Möglichkeit, Anwendungen aufzuschlüsseln, Sicherheitslücken zu entdecken und diese Erkenntnisse zu nutzen, um die allgemeine Sicherheitsstärke des Systems zu stärken. Seine Anwendung erstreckt sich über verschiedene Sektoren, darunter Blockchain, Cloud-Speicher, künstliche Intelligenz und Betriebssystemsicherheit. In jedem Szenario hat sich eine komplizierte, aber robuste Bindung zwischen Anbietern und Sicherheitsexperten entwickelt, die auf einem nuancierten Gleichgewicht des Vertrauens basiert. Firmen wie Trail of Bits, Halborn und Open Zeppelin haben eine Reihe von Smart Contracts geprüft und korrigiert und eine tadellose berufliche Bilanz aufrechterhalten, die das Vertrauen stärkt.
Am 17. Mai kam es zu einer Diskussion zwischen CertiK und Kraken, als CertiK-Forscher eine Sicherheitslücke in der Kontostandsberechnung und Einzahlungsfunktionalität von Kraken aufdeckten. Das Kraken Security Squad erkannte dies als schwerwiegende Angelegenheit an und schaffte es, es innerhalb von 47 Minuten zu korrigieren. Obwohl es oberflächlich betrachtet harmlos erscheint, könnte eine solche Schwachstelle es Cyberkriminellen ermöglichen, eine "Double Spend"-Aktion durchzuführen - eine Börse dazu zu bringen, eine falsche Einzahlung zu akzeptieren. Sobald das Guthaben fälschlicherweise aktualisiert wird, können sie umkehren und den entsprechenden Betrag abheben. Dies würde Gelder aus der Treasury-Wallet der Börse abziehen, ähnlich wie bei einer Bank.
CertiK veröffentlichte eine Liste betrügerischer Einzahlungstransaktionen, die die Ausnutzung dieser Schwachstelle 20 Mal innerhalb von fünf Tagen als angebliche "Tests" der Erkennungsfähigkeiten von Kraken demonstrierte. Nach diesem Vorfall wurden alle Gelder, die während dieser angeblichen "Testphase" verdrängt wurden, wieder in Kraken eingezahlt, mit Ausnahme eines kleinen Segments, das an Gebühren erschöpft war.
Trotz eindeutiger Funktionsnachweise hätte das CertiK-Team Kraken sofort über das Problem informieren und von weiteren Manipulationen der Sicherheitslücke absehen müssen.
White-Hat-Hacking ist eine sensible Domäne mit dem primären Ziel, die Anwendungssicherheit zu erhöhen und Vertrauen und Transparenz zu gewährleisten, ohne den Geschäftsbetrieb des Anbieters zu gefährden. White-Hat-Hacker buhlen jedoch um ein gewisses Maß an Publicity und können mit fehlgeleiteten Ambitionen stattdessen ihre Entdeckungen sensationalisieren, um Aufmerksamkeit zu erregen, was zu Spannungen führt. Ethische Hacker sind verpflichtet, ihre Ergebnisse umgehend mit einem minimalen Proof-of-Concept offenzulegen, um Störungen für die Geschäfte des Anbieters zu mindern. Ungebetene Penetrationstests über einen Zeitraum von vier Tagen nach dem erfolgreichen Proof-of-Concept durch CertiK sind ein Beispiel dafür, was man nicht tun sollte. Offensichtlich hätten die Gelder entweder sofort oder zum Zeitpunkt des ersten Berichts an Kraken zurückgegeben werden müssen - eine so beträchtliche Summe hätte niemals abgehoben werden dürfen.
Aus Sicht der Branche ist es wichtig, Solidarität zu zeigen und sich gegenseitig vor den potenziellen Schäden schädlicher Schlagzeilen oder Rivalitäten zu schützen. Angesichts der großen Anzahl böswilliger Hacker, die es abzuwehren gilt, verbessern wir unsere Sicherheitsprodukte und -verfahren und entwickeln konsequent bahnbrechende Lösungen. Die Zusammenarbeit innerhalb der Branche ist der Schlüssel, da sie zum Austausch wichtiger und unschätzbarer Informationen führt, und wie man so schön sagt, ist Sicherheit ein Teamspiel. Vertrauen unter den "Guten" ist grundlegend für den Fortschritt und es sollte niemals ein Fall von "Wir gegen sie" sein. Wir alle streben nach einem Gemeinwohl und müssen diesen Punkt immer betonen.
Der Autor Shahar Madar ist Vizepräsident für Sicherheit und Vertrauen bei Fireblocks. Die in diesem Artikel geteilten Ansichten sind ausschließlich die des Autors und spiegeln nicht die Ansichten und Meinungen von Cointelegraph wider. Sie dienen nur zu Informationszwecken und stellen keine Rechts- oder Anlageberatung dar.
Published At
6/28/2024 11:48:06 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.