Белый хакинг, или этический хакинг, является неотъемлемой частью кибербезопасности. Это форма хакинга, которая позволяет 'хорошим парням' изучать приложения, сообщать о найденных уязвимостях производителям и использовать эту информацию для улучшения уровня безопасности экосистемы.

Этот подход не уникален для блокчейна. Он применяется в таких областях, как облачные вычисления, искусственный интеллект, безопасность операционных систем и другие. Однако во всех случаях производители и исследователи по безопасности создают деликатные, но мощные взаимоотношения на основе доверия.

В сфере блокчейна аудиторы, такие как Trail of Bits, Halborn и Open Zeppelin, уже много лет проводят анализ и исправление различных смарт-контрактов, действуя с максимальной профессионализмом и формируя крепкое чувство доверия.

Спор между CertiK и Kraken

17 мая исследователи из CertiK обнаружили уязвимость в расчете баланса и механизме депозита цифровых активов на бирже Kraken. Команда безопасности Kraken правильно определила это как критическую проблему и устранила ее за 47 минут.

Хотя на первый взгляд это может показаться невинной ситуацией, данная уязвимость позволяет злоумышленникам совершить 'двойное расходование', что означает возможность фальсификации депозита на бирже. После того, как их баланс на бирже ошибочно обновляется, они могут снять ту же сумму. Это приводит к изъятию средств из основного казначейства биржи (которое, как правило, используется для управления клиентскими средствами, аналогично банкам).

CertiK также опубликовала список фальшивых депозитных транзакций, использовавших уязвимость не менее 20 раз за пять дней, при этом утверждая, что они лишь проверяли механизмы обнаружения Kraken.

После создания рабочего концепта исследователям CertiK следовало немедленно сообщить о проблеме Kraken и остановить дальнейшее использование уязвимости. Тем не менее, после инцидента все средства, взятые во время этого так называемого 'тестирования', были возвращены Kraken, за исключением небольшой потери на комиссиях.

Белый хакинг требует особой осторожности. Цель состоит в улучшении безопасности приложений, обеспечении доверия и прозрачности без угрозы для бизнеса поставщика.

Однако факт заключается в том, что белые хакеры часто недооцениваются, и, имея неправильные мотивы, стремятся к самым заглавным заголовкам. Например, заголовок 'CertiK смогли вывести $3 миллиона из Kraken, незамеченными' намного привлекательнее, чем 'Исследователи нашли критическую ошибку в Kraken и спасли миллионы долларов'.

Здесь возникает напряженность. Этические исследователи должны сообщать о своих находках как можно скорее и предоставлять минимальные доказательства концепции, чтобы не нарушать бизнес поставщика. Единственное исключение - это случай, когда поставщик приглашает исследователей на 'пенетрационное тестирование', при условии определения области тестирования и правил поведения.

К сожалению, этого не произошло в данном случае, так как 'незапрошенное' пенетрационное тестирование продолжалось четыре дня после того, как CertiK создали успешный рабочий концепт. CertiK должны были вернуть средства до или во время первого сообщения о проблеме. Такие крупные суммы не должны были быть изъяты из казначейства Kraken или любой другой биржи.

Где находится доверие

В качестве отрасли мы должны держаться вместе и помогать друг другу, несмотря на внимание, которое привлекает разрушительный заголовок для конкурирующего бизнеса.

Нашей отрасли приходится бороться с большим количеством плохих хакеров. К счастью, даже после таких разочарований, как это, мы продолжаем совершенствовать продукты и практики безопасности, а инновации постепенно нарастают. Сотрудничество на стороне отрасли, где между конкурентами обменивается интимная и ценная информация, крайне важно, потому что, в конце концов, безопасность - это командный спорт.

Мы можем двигаться вперед только как отрасль, если между всеми 'хорошими парнями' существует доверие. На самом деле, не должно быть 'мы' против 'них' - мы все работаем на благо общего дела, и это надо иметь в виду прежде всего.

Шахар Мадар - вице-президент по безопасности и доверию в Fireblocks.

Эта статья носит общий информационный характер и не является и не должна восприниматься как юридический или инвестиционный совет. Мнения, мысли и взгляды, выраженные здесь, принадлежат автору и не обязательно отражают или представляют взгляды и мнения Cointelegraph.