Дивна поведінка білого хакера
6
Деяка поведінка білого хакера є «дивною», - каже головний технолог Ledger.
На цьому тижні гра між CertiK та Kraken залишила більше питань, ніж відповідей.
Тож, щоб отримати деякі можливі відповіді - і взяти у нього інтерв`ю - Blockworks поспілкувалися з головним технологом Ledger Шарлем Гільєметом.
Поза використанням Tornado Cash американським CertiK, він також підкреслив виведення XMR - приватну монету на Monero, що є підозрілим, оскільки, ну, це приватна монета.
Додайте ChangeNow, так звану неопіковану біржу, до цієї ситуації. За досвідом Гільємета, ChangeNow зазвичай є одним з найкращих виборів для атакуючих, які намагаються приховати криптовалюту. Це часто використовується поганими акторами, оскільки воно не вимагає належних перевірок KYC перед здійсненням обміну з одного токена на інший.
Ще дивно було, що були відеодзвінки між CertiK та Kraken. І навіть не починай про мільйони, які були виведені (він стверджує, що можна зловживати навіть на сумму $5, щоб довести помилку, а потім повідомити про неї за винагороду).
Отже, п`ятиденний період, протягом якого дослідники тестували вразливість, не є дивним.
«Тому п`ятиденний період не є підозрілим, по суті. Але підозрюване те, що вони робили протягом цього часу», - сказав він Blockworks.
Позитивним моментом у цьому є швидкість, з якою Kraken оцінила проблему (47 хвилин, за словами головного офіцера з безпеки Kraken Ніка Перкоко) та дослідила цю проблему.
Гільємет був у світі безпеки до того, як перейшов до криптовалюти в 2017 році.
З цим досвідом він сказав, що «поведінка, яку ми спостерігаємо в блокчейні та криптовалюті, коли мова йде про білого хакера, з мого точки зору, дійсно дивна».
«Іноді у вас є білий хакер, як вважають, який знаходить вразливість в деякому розумному контракті. Він повністю вичерпує розумний контракт і потім повертає, скажімо, 90%, обираючи винагороду [із] 10%. Цей вид поведінки, для мене, є викупом. Здається, що це дозволено. Здається, що ця поведінка відповідає білому хакеру», - продовжив Гільємет.
«Але я цілковито не погоджуюся з цим. Коли ви проводите дослідження з безпеки, ви не обираєте свою винагороду».
«У криптовалюті це не завжди так, і це трохи турбує мене, і це також турбує інших фахівців з безпеки в цій галузі».
CertiK сказав, що не намагався експлуатувати або «викликати» кошти від біржі, на відміну від тверджень Перкоко. У четвер, Kraken підтвердив, що отримав кошти назад за винятком втраченого шматка через комісії.
Найпростіший спосіб покращити простір, очевидно, вкладання у безпеку, але складний шлях вперед для команд з безпеки полягає в тому, щоб залишатися скромними, сказав Гільємет.
«Атакувальники стануть краще і краще, і нам як екосистемі необхідно бути скромними та завжди підвищувати планку для безпеки, оскільки це гра у хованки та ставки стають все вищими».
Коротша версія цієї статті з`явилася в п`ятнічному листі Empire. Підпишіться тут, щоб ніколи не пропустити випуск.
Закриття PopeyeTools: влада США завдала удару по ринку кіберзлочинності та арештувала злочинців
DOJ закрив ринок PopeyeTools, де торгували вкраденими картками. Арештовано домени та відновлено $283,000 у криптоактивах. Троє осіб обвинувачуються у шахрайстві. ⚖️💻💰🚫🔒
Загроза отруєння коду штучного інтелекту: ChatGPT рекомендує шахрайський API, внаслідок якого користувач втрачає 2500 доларів у криптовалютах.
ChatGPT потрапив під загрозу отруєння коду ШІ після шахрайських рекомендацій API, що призвело до крадіжки 2500 доларів у крипто-трейдера. 🚨💸 Зростають ризики для користувачів. ⚠️
Upbit повертає 6 мільйонів доларів жертвам телефону шахрайства, демонструючи прихильність до захисту активів користувачів
Upbit повернула 8,5 млрд вон (6,07 млн $) 380 жертвам шахрайства, блокуючи шахрайські транзакції. Це свідчить про серйозність захисту користувачів у світі крипто. 🔒💰🚫
Уразливість Apple загрожує користувачам: можливий витік криптовалют через шкідливий JavaScript
Apple підтвердила вразливість, яка може загрожувати користувачам Mac та iPhone, дозволяючи зловмисникам отримати доступ до чутливих даних. Рекомендується терміново оновити пристрої! 🔒💻🚀