Bài học từ cuộc tranh cãi giữa Certik và Kraken

White hat hacking, hay còn gọi là hacking đạo đức, là một thành phần quan trọng trong an ninh mạng. Đó là hình thức hacking cho phép những "tay súng tốt" dissect ứng dụng, báo cáo các lỗ hổng bảo mật cho các nhà cung cấp và sử dụng thông tin đó để cải thiện tư thế bảo mật của hệ sinh thái. 

Điều này không phải là một khái niệm duy nhất trong blockchain. Nó còn tồn tại trong nhiều lĩnh vực khác nhau như đám mây, trí tuệ nhân tạo, bảo mật hệ điều hành và nhiều hơn nữa. Tuy nhiên, trong tất cả các trường hợp, nhà cung cấp và các nhà nghiên cứu bảo mật đã xây dựng một mối quan hệ tinh tế nhưng mạnh mẽ dựa trên sự cân bằng của niềm tin.

Trong không gian blockchain, các công ty kiểm toán như Trail of Bits, Halborn và Open Zeppelin đã phân tích và sửa chữa nhiều hợp đồng thông minh khác nhau trong nhiều năm và đã hoạt động với chuyên nghiệp tối đa, xây dựng một niềm tin vững chắc.

Tranh cãi giữa CertiK và Kraken

Vào ngày 17 tháng 5, các nhà nghiên cứu từ CertiK phát hiện một lỗ hổng trong cách tính số dư các tài sản số trên sàn giao dịch tài sản kỹ thuật số của Kraken và cơ chế gửi tiền. Đội ngũ an ninh Kraken đúng là xác định đó là vấn đề quan trọng và báo cáo đã được giải quyết trong vòng 47 phút.

Liên quan: Mạng lưới khuyến khích có thể tiết kiệm hàng triệu chi phí tính toán AI

Mặc dù ban đầu có vẻ vô tội, loại lỗ hổng này cho phép kẻ tấn công "double spend," nghĩa là họ có khả năng giả mạo một khoản gửi vào sàn giao dịch. Khi số dư của họ trên sàn cập nhật một cách nhầm lẫn, họ sau đó sẽ rút ra cùng một số tiền. Hành động này làm mất tiền từ ví ngân hàng chính của sàn giao dịch (đó là cái mà phần lớn các sàn trung tâm sử dụng để quản lý các tài sản quản lý, tương tự như ngân hàng).

CertiK cũng đã công bố danh sách các giao dịch gửi tiền giả mạo, khai thác lỗ hổng ít nhất 20 lần trong vòng 5 ngày, trong khi tuyên bố họ chỉ đang kiểm tra cơ chế phát hiện của Kraken.

CertiK gần đây đã xác định một loạt các lỗ hổng quan trọng trong sàn giao dịch của @krakenfx có thể dẫn đến hàng trăm triệu đô la mất mát.

Bắt đầu từ việc tìm thấy trong hệ thống gửi tiền của @krakenfx nơi mà nó có thể không phân biệt được giữa các… pic.twitter.com/JZkMXj2ZCD

— CertiK (@CertiK) Tháng Sáu 19, 2024

Sau khi có bằng chứng hoạt động, các nhà nghiên cứu CertiK nên báo cáo vấn đề ngay lập tức cho Kraken và dừng bất kỳ khai thác lỗ hổng nào khác. Tuy nhiên, kể từ sau sự việc, tất cả số tiền được lấy trong quá trình "kiểm tra" này đã được trả lại cho Kraken, ngoại trừ một số tiền nhỏ mất phí.

Một khung nhìn cho hacking đạo đức

Hacking white hat là một công việc tinh tế.

Mục tiêu là tăng cường an ninh ứng dụng, đảm bảo niềm tin và minh bạch mà không làm ảnh hưởng đến hoạt động kinh doanh của nhà cung cấp.

Tuy nhiên, sự thật cơ bản là những hacker white hat thường được dẫn dắt bởi PR và, với động cơ sai lầm, sẽ nhắm đến những tiêu đề táo bạo nhất. Ví dụ, "CertiK đã lấy 3 triệu đô la từ Kraken mà không ai nhận ra" là một tiêu đề thú vị hơn nhiều so với "Những nhà nghiên cứu đã phát hiện một lỗ hổng quan trọng trong Kraken và tiết kiệm hàng triệu đô la."

Liên quan: Blockchain đóng vai trò trong việc đối phó với những hệ lụy tiêu cực của trí tuệ nhân tạo