加密產業的撕逼真精彩。不,加密安全獨角獸CertiK和美國超級交易所Kraken的掰頭,讓筆者變成了瓜田的猹。
事情大約是這樣的:CertiK在其安全測試過程中發現了一個嚴重的漏洞,涉及到在Kraken平台上人為增加加密交易帳戶餘額的可能性,並希望透過測試觸達Kraken的警報提示閾值。然而,Kraken對此表示,CertiK的行為超出了一般安全研究的範圍,涉嫌利用漏洞獲利,因此指責CertiK進行了敲詐行為。
根據CertiK的說法,他們的測試揭示了Kraken系統中的多個安全漏洞,這些漏洞未經修復可能導致數億美元的損失。 CertiK強調,他們的行為是為了加強網路安全,保護所有用戶的利益,並公開了完整的測試時間軸和相關的存款地址,以證明他們的透明度和誠信。
Kraken及其CSO Nick Percoco則透過社群媒體和公開聲明強調,他們的漏洞賞金計畫有明確的規則,並要求所有發現漏洞的研究員遵守這些規則。 Kraken也表示,CertiK的行為已經構成了對其平台安全的直接威脅,並已向執法機構報告了這起事件。
這場對峙不僅涉及技術和安全問題,也觸及了法律和道德的邊界,特別是關於白帽駭客活動的界限和責任。這為曼昆律師進一步探討白帽駭客的法律尺度提供了豐富的背景和討論基礎。
白帽駭客的行為合法嗎?
從嚴格的行為而言,白帽駭客的行為和非法侵入電腦系統非常的相似。但在絕大多數情況下是不會給予白帽駭客違法犯罪的法律評價。因為白帽駭客的目的、行為過程使其與違法犯罪行為有著本質差異。
鏈上的白帽駭客透過發現和修補漏洞,幫助企業和組織建立更安全的網路環境,從而增強網路的可靠性和可信度,為整個鏈上的安全性和穩定性都做出了積極貢獻。
那收取報酬的行為是否會影響對白帽駭客的評價?報酬作為一種有效的激勵機制,可以吸引更多人才投入網路安全領域,進而提升整個產業的安全性,對企業和組織來說,也是一種高性價的漏洞修復方式,同時,也能樹立企業重視網路安全的形象。因此,白帽駭客收取合理費用一般屬於業界的約定俗成。
這一次,CertiK是白帽駭客嗎?
在CertiK與Kraken之間的掰扯中,核心問題之一是CertiK的行為邊界問題。 CertiK的行為,特別是向外部錢包轉移300萬美元資金的動機和法律性,成為了爭論的焦點。
行為並不透明
CertiK是Kraken合作的安全公司,並且明知Kraken設有針對安全漏洞的賞金計劃,完全可以在開始測試之前確保獲得充分的授權。同時,據社區及Kraken披露,CertiK報告漏洞時,並未提及具體轉移數量,而是在Kraken發出“退還$3M”後,披露自己“全部測試地址”,以證明自己未轉走Kraken指控的金額。
資金轉移是事實
根據Kraken以及鏈上偵探@0xBoboShanti的陳述,早在5月27日就有CertiK安全研究人員進行了探測和測試,這與CertiK的事件時間表產生了矛盾。同時,在後續的漏洞測試中,儘管CertiK聲稱所進行的操作是為了測試Kraken的警報系統是否能及時觸發,然而在實際操作時,這種測試不僅僅停留在發現漏洞,CertiK還將金額轉移到了獨立錢包位址。這一行為超出了常規的安全測試範圍。據披露,此前CertiK已經對多個交易所進行了相同操作,並且還使用過Tornado Cash轉移資產以及ChangeNOW進行拋售。
以上兩個情況大機率已經超越了白帽駭客的行為邊界。
法律界定成關鍵
從法律角度來看,白帽駭客的行為通常被視為合法,但前提是這些行為符合一定的規範和條件。
在美國,與白帽駭客活動密切相關的法律主要包括《電腦詐欺與濫用法案》(CFAA)。根據CFAA,任何未經授權存取或超出授權範圍存取保護電腦的行為都可能構成犯罪。對於白帽駭客而言,他們的行為通常需要在明確授權的範圍內進行,否則即便是出於安全測試的目的,也可能違反CFAA。此外,隨著科技的發展,一些地區也逐漸形成了更具體的規定來指導和保護白帽駭客的行為。
而在中國,《網路安全法》也明確了增強網路安全防護和加強網路空間管理的整體要求。這意味著網路入侵,即使是出於安全測試的目的,也可能被視為非法行為;同時,安全法強調了個人資料和隱私的保護。任何在網路測試中涉及個人資料的操作,必須確保資料的安全和隱私不被侵犯;發現安全漏洞後,有責任及時向網路安全管理機構和受影響的網路營運商報告。這種報告機制旨在及時修補漏洞,防止漏洞被濫用。
不過在Web3.0產業,部分白帽駭客的測試也會涉及到轉移資金的行為,但通常會在專案默許的情況下(例如專案有相關grants),或將加密資金轉移至特定的獨立錢包做儲存(不再進行下一步操作),進而提報漏洞並取得專案方贈與的報酬,這也算是業界約定俗成的行為。
然而,在CertiK的案例中,資金的實際轉移,尤其是後續操作引發了法律上的複雜問題。一方面是CertiK是否因私利動機而進行了資金轉移;一方面是CertiK並未遵守Kraken對於白帽黑客的明確要求,而是通過轉移資金再次證明同一個漏洞;另一方面是其後續對轉賬資金的操作,可能被視為非法獲利。此外,CertiK在行為後的處理方式,包括與Kraken的溝通和協調,也會影響其行為的法律評估。
結論與反思
雖然Kraken和CertiK這場爭議完完全全是美國法律問題,曼昆律師也不好發表美國法下的觀點。但假設發生在中國法下,CertiK的行為恐怕也難逃敲詐勒索和非法侵入電腦系統的指控。
確實,白帽駭客在某些情況下也可能「變黑」。即使最初的意圖是為了增強系統的安全,但如果他們在沒有適當授權的情況下進行測試,或者為了私人利益而利用發現的漏洞,這些行為就已經偏離了白帽黑客的法律以及倫理標準。正如CertiK與Kraken事件所展示的,如果未經授權進行資金轉移行為,尤其是在涉及巨額資金時,即便是出於測試目的,也可能被視為黑帽行為。
