Ethisch hacken, oftewel white hat hacking, speelt een cruciale rol in cybersecurity. Deze manier van hacken stelt “de goeden” in staat om applicaties te analyseren, beveiligingslekken te melden en zo de veiligheid van het ecosysteem te verbeteren. Dit concept is niet uniek voor blockchain; het wordt ook gebruikt in cloud computing, kunstmatige intelligentie en besturingssysteembeveiliging. Overal is er een delicate maar sterke relatie tussen leveranciers en beveiligingsonderzoekers, gebaseerd op vertrouwen.

Het Incident Tussen CertiK en Kraken

Op 17 mei ontdekte CertiK een kwetsbaarheid in Kraken’s digitale beurs. Het beveiligingsteam van Kraken erkende dit als een kritiek probleem en loste het binnen 47 minuten op. Deze kwetsbaarheid maakte het mogelijk voor aanvallers om een valse storting te simuleren en vervolgens hetzelfde bedrag op te nemen, wat geld wegnam uit de schatkist van de beurs.

CertiK publiceerde een lijst van valse stortingen en exploiteerde de kwetsbaarheid minstens 20 keer over vijf dagen, terwijl ze beweerden alleen Kraken’s detectiemechanismen te testen. Na het succesvol demonstreren van het probleem hadden de CertiK-onderzoekers het direct moeten melden en verdere exploitatie moeten stoppen. Alle tijdens deze “tests” weggenomen fondsen zijn inmiddels teruggegeven aan Kraken, behalve een klein bedrag dat verloren ging aan kosten.

Ethisch Hacken: Een Delicaat Evenwicht

Ethisch hacken is complex. Het doel is om de beveiliging van applicaties te verbeteren zonder de bedrijfsvoering van de leverancier te verstoren. Helaas worden ethische hackers soms gedreven door publiciteit en zoeken ze naar opvallende koppen, zoals

“CertiK nam $3 miljoen van Kraken zonder dat iemand het merkte” in plaats van “Onderzoekers vonden een kritieke fout in Kraken en bespaarden miljoenen dollars”.

Dit creëert spanningen. Onderzoekers moeten hun bevindingen snel rapporteren en een minimaal proof-of-concept hebben om de bedrijfsvoering van de leverancier niet te verstoren. De enige uitzondering is wanneer de leverancier de onderzoekers uitnodigt voor penetratietests, waarbij ze de reikwijdte en gedragscode hebben afgesproken.

In dit geval ging de “ongevraagde” penetratietest vier dagen door nadat CertiK een succesvol proof-of-concept had gemaakt. CertiK had de fondsen moeten teruggeven voor of op het moment van de eerste melding. Zo’n groot bedrag had nooit uit de schatkist van Kraken of een andere beurs mogen worden genomen.

Het Belang van Vertrouwen in de Industrie

Als industrie moeten we samenwerken en elkaar steunen, ongeacht de aandacht die een schadelijke kop naar een concurrerend bedrijf zou kunnen brengen. We worden geconfronteerd met veel slechte hackers. Gelukkig blijven we, zelfs na teleurstellingen zoals deze, de beveiligingsproducten en -praktijken verbeteren, terwijl de innovatie doorgaat. Samenwerking, waarbij waardevolle informatie wordt gedeeld tussen concurrenten, is cruciaal omdat beveiliging uiteindelijk een teamsport is.

We kunnen alleen vooruitkomen als industrie als er vertrouwen is tussen alle “goeden”. Het moet niet “wij” tegen “hen” zijn – we werken allemaal aan een gemeenschappelijk doel en dat moeten we altijd in gedachten houden.

Deze gebeurtenissen bieden waardevolle inzichten in de delicate balans tussen ethisch hacken en het behoud van vertrouwen binnen de blockchain-gemeenschap. Het is essentieel dat we blijven streven naar samenwerking en transparantie, zodat we de veiligheid van het hele ecosysteem kunnen verbeteren.