Дивна поведінка білого хакера
Деяка поведінка білого хакера є «дивною», - каже головний технолог Ledger.
На цьому тижні гра між CertiK та Kraken залишила більше питань, ніж відповідей.
Тож, щоб отримати деякі можливі відповіді - і взяти у нього інтерв`ю - Blockworks поспілкувалися з головним технологом Ledger Шарлем Гільєметом.
Поза використанням Tornado Cash американським CertiK, він також підкреслив виведення XMR - приватну монету на Monero, що є підозрілим, оскільки, ну, це приватна монета.
Додайте ChangeNow, так звану неопіковану біржу, до цієї ситуації. За досвідом Гільємета, ChangeNow зазвичай є одним з найкращих виборів для атакуючих, які намагаються приховати криптовалюту. Це часто використовується поганими акторами, оскільки воно не вимагає належних перевірок KYC перед здійсненням обміну з одного токена на інший.
Ще дивно було, що були відеодзвінки між CertiK та Kraken. І навіть не починай про мільйони, які були виведені (він стверджує, що можна зловживати навіть на сумму $5, щоб довести помилку, а потім повідомити про неї за винагороду).
Отже, п`ятиденний період, протягом якого дослідники тестували вразливість, не є дивним.
«Тому п`ятиденний період не є підозрілим, по суті. Але підозрюване те, що вони робили протягом цього часу», - сказав він Blockworks.
Позитивним моментом у цьому є швидкість, з якою Kraken оцінила проблему (47 хвилин, за словами головного офіцера з безпеки Kraken Ніка Перкоко) та дослідила цю проблему.
Гільємет був у світі безпеки до того, як перейшов до криптовалюти в 2017 році.
З цим досвідом він сказав, що «поведінка, яку ми спостерігаємо в блокчейні та криптовалюті, коли мова йде про білого хакера, з мого точки зору, дійсно дивна».
«Іноді у вас є білий хакер, як вважають, який знаходить вразливість в деякому розумному контракті. Він повністю вичерпує розумний контракт і потім повертає, скажімо, 90%, обираючи винагороду [із] 10%. Цей вид поведінки, для мене, є викупом. Здається, що це дозволено. Здається, що ця поведінка відповідає білому хакеру», - продовжив Гільємет.
«Але я цілковито не погоджуюся з цим. Коли ви проводите дослідження з безпеки, ви не обираєте свою винагороду».
«У криптовалюті це не завжди так, і це трохи турбує мене, і це також турбує інших фахівців з безпеки в цій галузі».
CertiK сказав, що не намагався експлуатувати або «викликати» кошти від біржі, на відміну від тверджень Перкоко. У четвер, Kraken підтвердив, що отримав кошти назад за винятком втраченого шматка через комісії.
Найпростіший спосіб покращити простір, очевидно, вкладання у безпеку, але складний шлях вперед для команд з безпеки полягає в тому, щоб залишатися скромними, сказав Гільємет.
«Атакувальники стануть краще і краще, і нам як екосистемі необхідно бути скромними та завжди підвищувати планку для безпеки, оскільки це гра у хованки та ставки стають все вищими».
Коротша версія цієї статті з`явилася в п`ятнічному листі Empire. Підпишіться тут, щоб ніколи не пропустити випуск.
Крадіжка криптовалюти: затримано зловмисників.
Кіберзлочинці затримані за крадіжку $243M криптовалюти Genesis. FBI проводить розслідування. Заморожено $9M. 😱🚔
Компанія Ефена Лабс Призупиняє Роботу Вебсайту Після Взлому Облікового Запису Домену
Атака на домен Ефена Лабс призвела до призупинення роботи вебсайту. Користувачам рекомендовано утриматися від взаємодії з підробленими сайтами. 😱🔒
Небезпека фейкових криптопроектів Трампа
Трамп провалив запуск криптовалюти World Liberty Financial, вірогідно, зловживаючи його імям. Фейкові проекти вже встигли зловживати цим ажіотажем 😬.
Шахрайські схеми з криптовалютами: 5 сигналів небезпеки
Огляд:
Стаття попереджає про шахрайські схеми в криптовалютному світі. Не гарантовані доходи та фальшиві веб-сайти - це ознаки обману. Інвесторам рекомендується бути обережними та перевіряти автентичність платформ та продавців 🛡️.