تعد قرصنة القبعة البيضاء، أو القرصنة الأخلاقية، عنصرًا حاسمًا في الأمن السيبراني. إن القرصنة هي التي تسمح “للأخيار” بتشريح التطبيقات، والإبلاغ عن الثغرات الأمنية للبائعين، واستخدام المعلومات لتحسين الوضع الأمني للنظام البيئي.
هذا ليس مفهومًا فريدًا في blockchain. إنه موجود في أماكن بما في ذلك السحابة والذكاء الاصطناعي وأمن نظام التشغيل والمزيد. ومع ذلك، في جميع الحالات، أنشأ البائعون والباحثون الأمنيون علاقة حساسة ولكنها قوية تعتمد على التوازن يثق.
في مجال blockchain، قام المدققون مثل Trail of Bits وHalborn وOpen Zeppelin بتحليل وإصلاح العديد من العقود الذكية لسنوات وعملوا بأقصى قدر من الاحترافية، مما أدى إلى بناء شعور قوي بالثقة.
نزاع CertiK وKraken
في 17 مايو، اكتشف باحثون من CertiK ثغرة في آلية حساب الرصيد والإيداع في منصة Kraken Digital Asset Exchange. وقد وصف فريق الأمن في Kraken هذه الثغرة بأنها مشكلة بالغة الخطورة وأفادوا بأنها تم حلها في غضون 47 دقيقة.
متعلق ب: يمكن لشبكات الحوافز أن توفر الملايين من تكاليف حوسبة الذكاء الاصطناعي
ورغم أن هذا النوع من الثغرات يبدو بريئًا في البداية، فإنه يسمح للمهاجمين بـ”الإنفاق المزدوج”، أي أن لديهم القدرة على تزوير إيداع في البورصة. وبمجرد تحديث رصيدهم في البورصة عن طريق الخطأ، فإنهم يستديرون ويسحبون نفس المبلغ. ويؤدي هذا الفعل إلى إزالة الأموال من محفظة الخزانة الرئيسية للبورصة (وهي المحفظة التي تستخدمها غالبية البورصات المركزية لإدارة الأموال الوصائية، على غرار البنوك).
ونشرت CertiK أيضًا قائمة معاملات الإيداع المزيفة، مستغلة الثغرة الأمنية 20 مرة على الأقل على مدار خمسة أيام، بينما زعمت أنها كانت تختبر فقط آليات الكشف الخاصة بـ Kraken.
حددت CertiK مؤخرًا سلسلة من نقاط الضعف الحرجة في @كراكن اف اكس التبادل الذي من الممكن أن يؤدي إلى خسائر بمئات الملايين من الدولارات.
بدءا من العثور على @كراكن اف اكسنظام إيداع حيث قد يفشل في التمييز بين مختلف الداخلية … pic.twitter.com/JZkMXj2ZCD
— سيرتيك (@CertiK) 19 يونيو 2024
بعد الحصول على إثبات عملي للمفهوم، كان ينبغي على باحثي CertiK الإبلاغ عن المشكلة على الفور إلى Kraken ووقف أي استغلال آخر للثغرة الأمنية. ومع ذلك، منذ وقوع الحادث، تمت إعادة جميع الأموال التي تم أخذها خلال هذا “الاختبار” المزعوم إلى Kraken، باستثناء مبلغ صغير تم فقده في الرسوم.
إطار عمل للقرصنة الأخلاقية
القرصنة ذات القبعة البيضاء هي عملية حساسة.
والهدف هو تعزيز أمان التطبيق، وضمان الثقة والشفافية دون تعريض أعمال البائع للخطر.
ولكن الحقيقة الأساسية هي أن القراصنة ذوي القبعات البيضاء غالباً ما يكونون مدفوعين بدوافع العلاقات العامة، وبدوافع خاطئة، فإنهم يستهدفون العناوين الأكثر جرأة. على سبيل المثال، “تمكنت شركة CertiK من الاستيلاء على 3 ملايين دولار من شركة Kraken دون أن يلاحظ أحد” هو عنوان أكثر إثارة للاهتمام من “اكتشف الباحثون ثغرة خطيرة في شركة Kraken ووفروا ملايين الدولارات”.
متعلق ب: تلعب تقنية Blockchain دورًا في مواجهة التأثيرات السيئة للذكاء الاصطناعي
هذا هو المكان الذي يصبح فيه التوتر مرتفعا. من المتوقع أن يقوم الباحثون الأخلاقيون بالإبلاغ عن النتائج التي توصلوا إليها في أقرب وقت ممكن وأن يكون لديهم أقل قدر من إثبات المفهوم حتى لا تتعطل أعمال البائع. الاستثناء الوحيد هو عندما يدعو البائع الباحثين إلى اختبار الاختراق، وفي هذه الحالة يكونون قد وافقوا على نطاق الاختبار وقواعد السلوك.
لسوء الحظ، لم يكن هذا هو الحال هنا حيث استمر اختبار الاختراق “غير المرغوب فيه” لمدة أربعة أيام بعد نجاح CertiK في إثبات المفهوم. كان من المفترض أن تقوم CertiK بإعادة الأموال قبل أو في وقت الإبلاغ الأولي. لا ينبغي أبدًا أخذ مثل هذا المبلغ الكبير من الأموال من خزانة Kraken أو أي بورصة أخرى.
حيث تجد الثقة مكانا
كصناعة، يجب علينا أن نبقى معًا ونعتني ببعضنا البعض، بغض النظر عن الاهتمام الذي قد يجلبه عنوان ضار لشركة منافسة.
تواجه صناعتنا عددًا كبيرًا من المتسللين السيئين الذين يتعين علينا محاربتهم. ولحسن الحظ، حتى بعد التطورات المخيبة للآمال مثل هذا، فإننا نواصل تحسين منتجات وممارسات الأمان، في حين يتقدم الابتكار بثبات. إن التعاون على مستوى الصناعة، حيث يتم تبادل المعلومات الحميمة والقيمة بين المنافسين، أمر بالغ الأهمية لأن الأمان في النهاية رياضة جماعية.
لا يمكننا المضي قدمًا كصناعة إلا إذا كانت هناك ثقة بين جميع “الأشخاص الطيبين”. في الواقع، لا ينبغي أن يكون الأمر “نحن” ضد “هم” – فنحن جميعًا نعمل من أجل الصالح العام وعلينا أن نضع ذلك في الاعتبار أولاً وقبل كل شيء.
شاهر مدار هو نائب رئيس منتجات الأمن والثقة في Fireblocks. وهو متخصص في بناء حلول الأمن والهوية والامتثال والحوكمة لاحتياجات المؤسسات الكبيرة والعلامات التجارية البارزة. وهو أيضًا نائب رئيس Crypto ISAC، وهي جمعية غير ربحية تضم منظمات مكرسة لتعزيز المبادرات الأمنية عبر النظام البيئي للعملات المشفرة.
هذه المقالة هي لأغراض المعلومات العامة وليس المقصود منها ولا ينبغي أن تؤخذ على أنها نصيحة قانونية أو استثمارية. الآراء والأفكار والآراء الواردة هنا هي آراء المؤلف وحده ولا تعكس بالضرورة أو تمثل وجهات نظر وآراء Cointelegraph.
