Странные действия хакеров-белых шляп - Лидер Ledger.

Некоторое поведение хакеров-белых шляп кажется `странным`, говорит главный технический директор Ledger Шарль Гийемон.

Обмен мнениями между CertiK и Kraken на этой неделе оставил больше вопросов, чем ответов.

Чтобы получить потенциальные ответы - и пообщаться с Гильемо - Blockworks пообщался с главным техническим директором Ledger Шарлем Гильемом.

Помимо использования Tornado Cash американской компанией CertiK он также отметил вывод XMR - конфиденциальной монеты на базе Monero, если вы пропустили некоторые прошлые сегменты Empire - как подозрительный, потому что, ну, это конфиденциальная монета.

Добавьте в это ChangeNow, самостоятельную биржу без хранения, в который влились. По опыту Гийема, ChangeNow обычно один из лучших выборов для атакующих, которые пытаются скрыть криптовалюту. Ее часто используют недобросовестные лица, потому что для проведения обменов с одной монеты на другую не требуются должные проверки KYC.

Было также странно, что были видеозвонки между CertiK и Kraken. И даже не начинайте с миллионами, выведенными (он утверждает, что можно использовать всего $5, чтобы доказать уязвимость, а затем сообщить об этом за вознаграждение).

Однако, пятидневный период, в течение которого исследователи проверяли эксплойт, не такой уж и странный.

«Пятидневный период не вызывает подозрений, как таковой. Но подозрительное то, что они делали за это время», - сказал он Blockworks.

Позитивный момент в этом - скорость, с которой Kraken оценивал проблему (47 минут, согласно главному охраннику Kraken Нику Пероко) и проводил расследование.

«У Kraken было все необходимое, чтобы проверить, что произошло на их платформе, и выяснить, что уязвимость была реально использована несколько раз, тремя аккаунтами, а не только одним», - добавил он.

Гильем был в мире безопасности до перехода в криптовалюту в 2017 году.

С этим опытом он сказал, что «поведение, которое мы видим в блокчейне и криптовалюте, когда речь идет о белых шляпах [хакерстве], действительно странно с моей точки зрения».

«Иногда у вас есть белая шляпа, которая находит уязвимость в каком-то смарт-контракте. Она полностью осушает смарт-контракт и затем отдает обратно, примерно 90%, выбирая свое вознаграждение в 10%. Такое поведение, на мой взгляд, это шантаж. Кажется, что это нормально. Кажется, это поведение белых шляп», - продолжил Гильем.

«Но я категорически не согласен с этим. Когда вы проводите исследования в области безопасности, вы не выбираете свое вознаграждение».

«В мире криптовалюты это не всегда так, и для меня это немного беспокойно, и это также беспокойно для других специалистов по безопасности в этой области».

CertiK заявила, что не пыталась использовать или «шантажировать» средства у биржи, в отличие от утверждений Пероко. В четверг Kraken подтвердил, что вернул средства обратно за вычетом небольшой суммы, потерянной на комиссиях.

Самый простой способ улучшить пространство, очевидно, вложение в безопасность, но более сложный путь вперед - чтобы команды безопасности оставались скромными, сказал Гильем.

«Атакующие будут становиться все лучше и лучше, и нам как экосистеме следует быть скромными и всегда повышать планку для безопасности, потому что это игра в кошки-мышки, и ставки становятся все выше».

Более короткая версия этой статьи появилась в письме Empire Newsletter от пятницы. Подпишитесь здесь, чтобы никогда не упустить выпуск.