Naviguer dans la confiance et la responsabilité dans le piratage informatique : un examen plus approfondi du scénario CertiK-Kraken
Summary:
L’article explore l’équilibre délicat de la confiance entre les entreprises de cybersécurité et les fournisseurs dans le contexte du piratage en chapeau blanc, en discutant d’un incident entre les experts en sécurité CertiK et la société d’échange d’actifs numériques Kraken. L’incident impliquait une faille de sécurité découverte par CertiK dans la fonctionnalité de solde et de dépôt de Kraken. La situation compliquée a souligné le rôle et les responsabilités des pirates éthiques, en mettant l’accent sur la communication en temps opportun des résultats critiques et en ne lançant aucune autre exploitation. L’article suggère qu’un tel travail collaboratif et une telle confiance sont essentiels pour améliorer les pratiques de sécurité à l’échelle de l’industrie.
Le domaine du piratage éthique, souvent appelé piratage white hat, est un élément essentiel du maintien de la cybersécurité. Servant d’outil pour les cyber-« gentils », cette forme de piratage offre un moyen de décomposer les applications, de découvrir des failles de sécurité et d’utiliser ces résultats pour renforcer la sécurité globale du système. Son application couvre divers secteurs, notamment la blockchain, le stockage en nuage, l’intelligence artificielle et la sécurité des systèmes d’exploitation, entre autres. Dans chaque scénario, un lien complexe mais solide s’est développé entre les fournisseurs et les experts en sécurité, fondé sur un équilibre de confiance nuancé. Des entreprises telles que Trail of Bits, Halborn et Open Zeppelin ont examiné et corrigé une série de contrats intelligents, maintenant un dossier professionnel impeccable qui renforce la confiance.
Une discussion a eu lieu entre CertiK et Kraken le 17 mai lorsque les chercheurs de CertiK ont découvert une faille de sécurité dans le calcul du solde et la fonctionnalité de dépôt de l’échange d’actifs numériques de Kraken. L’escouade de sécurité du Kraken a reconnu qu’il s’agissait d’une affaire grave et a réussi à y remédier en 47 minutes. Bien qu’elle semble inoffensive à première vue, une telle vulnérabilité pourrait permettre aux cybercriminels de mener une action de « double dépense » : tromper une plateforme d’échange pour qu’elle accepte un faux dépôt. Une fois que le solde est mis à jour par erreur, ils peuvent faire demi-tour et retirer le montant équivalent. Cela drainerait les fonds du portefeuille de trésorerie de l’échange, un peu comme une banque.
CertiK a divulgué une liste de transactions de dépôt frauduleuses, démontrant l’exploitation de cette vulnérabilité 20 fois en cinq jours comme de supposés « tests » des capacités de détection de Kraken. À la suite de cet incident, tous les fonds déplacés pendant cette prétendue phase de « test » ont été redéposés dans Kraken, à l’exception d’un petit segment qui a été épuisé en frais.
Bien qu’elle ait des preuves claires de fonctionnement, l’équipe de CertiK aurait dû alerter Kraken du problème immédiatement tout en s’abstenant de toute autre manipulation de la faille de sécurité.
Le piratage white hat est un domaine sensible dont l’objectif principal est d’améliorer la sécurité des applications, en garantissant la confiance et la transparence sans menacer les opérations commerciales du fournisseur. Cependant, les hackers white hat courtisent une certaine publicité et, avec des ambitions malavisées, peuvent plutôt sensationnaliser leurs découvertes pour attirer l’attention, ce qui entraîne des tensions. Les pirates éthiques sont tenus de divulguer rapidement leurs découvertes avec une preuve de concept minimale, ce qui atténue les perturbations pour les activités des fournisseurs. Les tests d’intrusion non sollicités sur une période de quatre jours après la preuve de concept réussie par CertiK sont un exemple de ce qu’il ne faut pas faire. De toute évidence, les fonds auraient dû être restitués à Kraken immédiatement ou au moment du rapport initial - une somme aussi importante n’aurait jamais dû être retirée.
Du point de vue de l’industrie, il est essentiel de faire preuve de solidarité et de se protéger mutuellement contre les dommages potentiels causés par les gros titres ou les rivalités. Avec un volume élevé de pirates malveillants à repousser, nous améliorons nos produits et procédures de sécurité, en allant constamment de l’avant avec des solutions pionnières. La collaboration au sein de l’industrie est essentielle car elle conduit à l’échange d’informations importantes et inestimables, et comme on dit, la sécurité est un jeu d’équipe. La confiance entre les « bons » est fondamentale pour le progrès et il ne devrait jamais s’agir d’un cas de « nous contre eux ». Nous visons tous un bien commun et devons toujours insister sur ce point.
L’auteur Shahar Madar est le vice-président de la sécurité et de la confiance chez Fireblocks. Les points de vue partagés dans cet article sont uniquement ceux de l’auteur et ne reflètent pas les points de vue et opinions de Cointelegraph. Elles sont fournies à titre informatif uniquement et ne constituent pas des conseils juridiques ou de placement.
Published At
6/28/2024 11:48:06 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.