Nach dem Hack der BNB-Kette müssen sich die Betreiber der Frage der Dezentralisierung stellen

Angreifer verfolgen Nutzung der BNB-Kette von Binance und dem Abheben von 2 Millionen BNB setzt sich die Kryptoindustrie nun mit Fragen der Dezentralisierung, der Reaktion auf Sicherheitsvorfälle und der Verbreitung von Hacks auseinander.

Betreiber und Protokolle im Raum müssen sich dafür entscheiden, vollständig dezentralisiert zu werden oder besser darauf vorbereitet zu sein, auf Hacks zu reagieren, sagte Michael Lewellen, Leiter der Lösungsarchitektur bei der Blockchain-Sicherheitsfirma die openzeppel.

BNB-Kette sagte in einer Erklärung Freitag dass der neueste Exploit BSC Token Hub betraf – die native Cross-Chain-Brücke zwischen BNB Beacon Chain und BNB Smart Chain.

Blockchain-Analyseeinheit Kettenanalyse voraussichtlich im August dass Krypto im Wert von 2 Milliarden Dollar über 13 Cross-Chain-Bridge-Hacks gestohlen worden war. Angriffe auf Brücken machten 69 % der gesamten gestohlenen Gelder in diesem Jahr aus, sagte das Unternehmen damals.

„Dezentralisierte Chains sind nicht darauf ausgelegt, gestoppt zu werden, aber durch die Kontaktaufnahme mit den Community-Validierern nacheinander konnten wir die Ausbreitung des Vorfalls stoppen“, sagte BNB Chain in einer Erklärung vom Freitag.

BNB Smart Chain hat 26 aktive Validatoren und insgesamt 44, erklärte das Netzwerk und fügte hinzu, dass es versucht, die Validatoren zu erweitern, um sie zu stärken weitere Dezentralisierung.

Obwohl BNB Chain berichtete, dass „die überwiegende Mehrheit der Gelder unter Kontrolle bleibt“, antwortete ein Sprecher nicht sofort auf eine Bitte um weitere Kommentare. 

Der neueste Hack wird die Betreiber wahrscheinlich dazu anspornen, den Mangel an automatisierter Reaktion auf Sicherheitsvorfälle im Krypto-Raum anzugehen, sagte Lewellen gegenüber Blockworks. 

OpenZeppelin wurde 2015 gegründet und verfügt über eine Plattform, mit der Benutzer intelligente Vertragsverwaltungen wie Zugriffskontrollen, Upgrades und Pausieren verwalten können. Das Unternehmen sichert Gelder in zweistelliger Milliardenhöhe für Organisationen wie Coinbase und die Ethereum Foundation.

Lesen Sie weiter für Auszüge aus dem Interview von Blockworks mit Lewellen nach dem Hack.

Blockwerke: Was halten Sie von diesem neuesten Hack auf der BNB-Kette?

Lewellen: Das ist eigentlich etwas seltsam, da es sich um einen Fehler handelt, der in einem vorkompilierten Smart Contract enthalten war.

Bei Binance Chain haben sie dem nativen Protokoll nur viele Funktionen hinzugefügt, um Smart Contracts zu unterstützen, und genau hier kam der Fehler ins Spiel. Ich denke, es muss die Frage gestellt werden, ob diese Art von Änderungen in a enthalten sein sollten natives Protokoll. Vielleicht sollte es in einem Smart Contract enthalten sein und außerhalb des Geltungsbereichs des Protokolls bleiben, weil diese Dinge riskant sind.

Wir wissen nicht, wie der Fehler innerhalb des Protokolls oder seiner ursprünglichen Quelle aufgetreten ist. Aber wo Code ist – und das Sicherheitsniveau von Codeteilen, je nachdem, in welcher Schicht sie sich befinden – muss besser sein.

Diese Proof-of-Authority-Ketten und -Brücken erschweren das irgendwie. Es gibt keine klare Hierarchie mehr. Es passieren jetzt viele verschiedene Ebenen parallel, derer sich die Leute viel bewusster sein müssen.   

Blockwerke: Wie hätte die Reaktion auf diesen Hack besser sein können?

Lewellen: Während ich denke, dass sie hier insgesamt gut reagiert haben, gibt es eine größere Frage … war dies wirklich das Beste, was getan werden konnte, wenn diese Rolle angenommen wurde.

Ich kann nicht darüber sprechen, was die Binance Chain-Validierer-Community tut oder wie sie sich für diese Art von Dingen koordinieren oder üben … aber sie haben es offensichtlich jetzt einmal praktiziert.

Ich spreche als jemand von außen, aber wenn ich sehe, dass andere DeFi-Projekte darauf als ihre Kunden reagieren, denke ich, dass es viel mehr Sorgfalt geben könnte und die Rolle von jemandem übernehmen könnte, der in der Lage ist, auf Sicherheitsvorfälle zu reagieren. 

Und wenn sie die Rolle nicht haben, müssen sie damit einfach sehr offen sein. Ob es in einigen Fällen ein Zögern gibt, es zu verwenden und in anderen vielleicht nicht, im Moment existiert es offensichtlich, und ich denke, es könnte in Zukunft besser gemacht werden, wenn wir viel daraus lernen.   

Blockwerke: Können Sie Beispiele für eine effektive automatisierte Sofortreaktion auf einen Hack nennen?

Lewellen: Wir sind noch in den Anfängen. Ich denke, wir sehen Teams, die immer besser darin werden, Dinge zu erkennen und darauf zu reagieren, aber ich denke ehrlich gesagt, dass diese Hacks auf Brücken aufgetreten sind, von denen ich glaube, dass sie nicht das gleiche Maß an Due Diligence angenommen haben.

Ich glaube nicht, dass wir dafür einen guten Fall gesehen haben. Wir wissen, dass es möglich ist, wir haben die Simulationen bei OpenZeppelin durchgeführt, um zu wissen, dass es machbar ist, und wir haben Tools entwickelt, um es anzugehen. Aber ironischerweise denke ich, dass die Teams, die am besten darauf vorbereitet sind, die Teams sein könnten, die überhaupt am wenigsten anfällig dafür sind, gehackt zu werden.

Die Leute, die am häufigsten gehackt werden, sind meiner Meinung nach auch diejenigen, die am wenigsten darauf vorbereitet sind, gehackt zu werden.

Blockwerke: Welche Arten von Tools oder Praktiken sollten verwendet werden, um sich schnell gegen Hacks zu verteidigen?  

Lewellen: Was [Betreiber] wirklich brauchen, ist etwas, das Sie sofort benachrichtigt, oder im Grunde etwas, das alles in der Kette überwacht … es analysiert und dann feststellt, „waren hier irgendwelche Risiken ausgesetzt?“

Wenn große Geldbeträge bewegt werden, ist das wahrscheinlich in Ordnung und Teil des Tagesgeschäfts, aber wenn es nicht der Norm entspricht … [es ist wichtig], sofort darüber informiert zu werden.

Wenn Sie weiter gehen und Dinge erkennen können, die niemals passieren sollten, wie z. B. Geld, das aus einem Tresorraum bewegt wird, der verschlossen werden sollte, oder mehr Token, als im Token-Vorrat vorhanden sein sollten, wissen Sie, dass etwas passiert. Wenn Sie nicht sofort Leute auf Abruf dazu bringen, zu antworten, automatisieren Sie vielleicht sogar einige der Möglichkeiten, wie Sie einige der Ausgangsrampen sofort abschneiden könnten … oder Ihre Validatoren dazu bringen, bereit zu sein, zu reagieren, und vielleicht sogar Übungen mit ihnen machen.

Blockwerke: Was ist der Schlüssel für Betreiber, wenn sie versuchen, Sicherheitsrisiken in Zukunft anzugehen? 

Lewellen: Ich denke, es wird ein bisschen ehrlicher mit der Rolle der verschiedenen Betreiber und Protokolle und den administrativen Befugnissen. 

Mit der Ethereum-Blockchain wäre die Art und Weise, wie die Binance Chain reagiert hat, für Ethereum nicht möglich gewesen, aber Ethereum schafft auch diese Erwartung, dass die Kette nicht eingreifen und Sie retten wird.

Wenn Sie diese Art von Ansatz haben, bei dem Sie ein Netzwerk haben, in dem die Leute reagieren können, nehmen Sie es entweder an oder entfernen Sie sich davon. Entweder vollständig dezentralisiert oder zentral genug, um die Verantwortung für die Reaktion auf Sicherheitsvorfälle zu übernehmen. Übernehmen Sie die Rolle voll und ganz, indem Sie versuchen, so gut wie möglich vorbereitet zu sein, und den Knotenbetreibern für Ihr Netzwerk mitteilen, dass dies in ihrer Verantwortung liegt.

Dieses Interview wurde aus Gründen der Klarheit und Kürze bearbeitet.

Teilnehmen DAS: LONDON und erfahren Sie, wie die größten TradFi- und Krypto-Institutionen die Zukunft der institutionellen Einführung von Krypto sehen. Registrieren .