Μετά το BNB Chain Hack, οι χειριστές πρέπει να αντιμετωπίσουν το ζήτημα της αποκέντρωσης

Ακολουθώντας τους επιτιθέμενους αξιοποιώντας την αλυσίδα BNB της Binance και αποσύροντας 2 εκατομμύρια BNB, η βιομηχανία κρυπτογράφησης παλεύει τώρα με ζητήματα αποκέντρωσης, απαντήσεων σε περιστατικά ασφαλείας και επικράτησης hack.

Οι χειριστές και τα πρωτόκολλα στον χώρο πρέπει να επιλέξουν να γίνουν πλήρως αποκεντρωμένοι ή να είναι καλύτερα προετοιμασμένοι να ανταποκριθούν σε hacks, δήλωσε ο Michael Lewellen, επικεφαλής αρχιτεκτονικής λύσεων στην εταιρεία ασφάλειας blockchain Ανοίξτε το Zeppelin.

είπε η BNB Chain σε δήλωση την Παρασκευή ότι η τελευταία εκμετάλλευση επηρέασε το BSC Token Hub — την εγγενή γέφυρα διασταυρούμενης αλυσίδας μεταξύ BNB Beacon Chain και BNB Smart Chain.

Μονάδα ανάλυσης blockchain Η αλυσιδωτή ανάλυση εκτιμάται τον Αύγουστο ότι κρυπτονομίσματα αξίας 2 δισεκατομμυρίων δολαρίων είχαν κλαπεί μέσω 13 παραβιάσεων σε γέφυρες cross-chain. Οι επιθέσεις σε γέφυρες αντιπροσώπευαν το 69% των συνολικών κεφαλαίων που κλάπηκαν φέτος, είπε η εταιρεία εκείνη την εποχή.

«Οι αποκεντρωμένες αλυσίδες δεν έχουν σχεδιαστεί για να σταματήσουν, αλλά επικοινωνώντας με τους επικυρωτές της κοινότητας μία προς μία, καταφέραμε να σταματήσουμε την εξάπλωση του περιστατικού», ανέφερε η BNB Chain σε δήλωση την Παρασκευή.

Το BNB Smart Chain έχει 26 ενεργούς επικυρωτές και 44 συνολικά, δήλωσε το δίκτυο, προσθέτοντας ότι επιδιώκει να επεκτείνει τους επικυρωτές για να ενισχύσει περαιτέρω αποκέντρωση.

Αν και η BNB Chain ανέφερε ότι «η συντριπτική πλειονότητα των κεφαλαίων παραμένει υπό έλεγχο», ένας εκπρόσωπος δεν απάντησε αμέσως αίτημα για περαιτέρω σχόλια. 

Το πιο πρόσφατο hack είναι πιθανό να ωθήσει τους χειριστές να αντιμετωπίσουν την έλλειψη αυτοματοποιημένης απόκρισης σε συμβάντα ασφαλείας στον χώρο κρυπτογράφησης, είπε ο Lewellen στο Blockworks. 

Το OpenZeppelin, το οποίο ιδρύθηκε το 2015, διαθέτει μια πλατφόρμα που επιτρέπει στους χρήστες να διαχειρίζονται τη διαχείριση έξυπνων συμβολαίων, όπως ελέγχους πρόσβασης, αναβαθμίσεις και παύση. Η εταιρεία προστατεύει δεκάδες δισεκατομμύρια δολάρια σε κεφάλαια για οργανισμούς όπως το Coinbase και το Ethereum Foundation.

Συνεχίστε να διαβάζετε για αποσπάσματα από τη συνέντευξη του Blockworks με τον Lewellen μετά το hack.

Κατασκευές: Τι πιστεύετε για αυτό το τελευταίο hack στην αλυσίδα BNB;

Lewellen: Αυτό είναι στην πραγματικότητα κάπως περίεργο, καθώς πρόκειται για ένα σφάλμα που υπήρχε σε ένα προ-μεταγλωττισμένο έξυπνο συμβόλαιο.

Με το Binance Chain, απλώς πρόσθεταν πολλές δυνατότητες στο εγγενές πρωτόκολλο για να υποστηρίξουν έξυπνα συμβόλαια, και εκεί κατέληξε να εμφανιστεί το σφάλμα. Επομένως, νομίζω ότι πρέπει να τεθεί ένα ερώτημα εάν τέτοιου είδους αλλαγές θα έπρεπε να υπάρχουν σε ένα εγγενές πρωτόκολλο. Ίσως θα έπρεπε να περιέχεται σε ένα έξυπνο συμβόλαιο και να διατηρείται εκτός του πεδίου εφαρμογής του πρωτοκόλλου επειδή αυτά τα πράγματα είναι επικίνδυνα.

Δεν γνωρίζουμε πώς εμφανίστηκε το σφάλμα μέσα στο πρωτόκολλο ή την αρχική του πηγή. Αλλά το πού βρίσκεται ο κώδικας — και το επίπεδο ασφάλειας των κομματιών κώδικα ανάλογα με το επίπεδο στο οποίο βρίσκονται — πρέπει να είναι καλύτερο.

Αυτές οι αλυσίδες και οι γέφυρες που αποδεικνύουν την αυθεντία το περιπλέκουν κάπως. Δεν είναι πλέον μια σαφής ιεραρχία. Υπάρχουν τώρα πολλά διαφορετικά επίπεδα που συμβαίνουν παράλληλα, τα οποία οι άνθρωποι πρέπει να έχουν πολύ μεγαλύτερη επίγνωση.   

Κατασκευές: Πώς θα μπορούσε η απάντηση σε αυτό το hack να ήταν καλύτερη;

Lewellen: Αν και νομίζω ότι ανταποκρίθηκαν καλά συνολικά εδώ, υπάρχει ένα ευρύτερο ερώτημα για το… ήταν αυτό πραγματικά το καλύτερο που θα μπορούσε να γίνει εάν αυτός ο ρόλος ενστερνιζόταν.

Δεν μπορώ να μιλήσω για το τι κάνει η κοινότητα επικύρωσης αλυσίδας Binance ή πώς συντονίζονται ή εξασκούνται για τέτοια πράγματα…αλλά προφανώς το έχουν εξασκήσει μια φορά τώρα.

Μιλώ ως κάποιος από το εξωτερικό, αλλά βλέποντας άλλα έργα DeFi να ανταποκρίνονται σε αυτό ως πελάτης τους, νομίζω ότι θα μπορούσε να υπάρξει πολύ περισσότερη επιμέλεια και να αγκαλιάσει το ρόλο κάποιου που έχει την ικανότητα να ανταποκρίνεται σε συμβάντα ασφαλείας. 

Και αν δεν έχουν τον ρόλο, πρέπει απλώς να είναι πολύ προνοητικοί με αυτό. Είτε υπάρχει δισταγμός να το χρησιμοποιήσουμε σε ορισμένες περιπτώσεις και ίσως όχι σε άλλες, αυτή τη στιγμή προφανώς υπάρχει και νομίζω ότι θα μπορούσε να γίνει καλύτερα στο μέλλον αν μάθουμε πολλά από αυτό.   

Κατασκευές: Μπορείτε να υποδείξετε κάποια παραδείγματα αποτελεσματικής αυτοματοποιημένης άμεσης απάντησης σε ένα hack;

Lewellen: Είμαστε ακόμα στα αρχικά στάδια. Νομίζω ότι βλέπουμε ομάδες που βελτιώνονται στον εντοπισμό και την ανταπόκριση, αλλά νομίζω ότι ειλικρινά αυτά τα hacks έχουν συμβεί σε γέφυρες που δεν νομίζω ότι έχουν υιοθετήσει το ίδιο επίπεδο δέουσας επιμέλειας.

Δεν νομίζω ότι έχουμε δει καλή περίπτωση για αυτό. Γνωρίζουμε ότι είναι δυνατό, έχουμε κάνει τις προσομοιώσεις στο OpenZeppelin για να γνωρίζουμε ότι είναι εφικτό και έχουμε δημιουργήσει εργαλεία για να το αντιμετωπίσουμε. Αλλά κατά ειρωνικό τρόπο, νομίζω ότι οι ομάδες που είναι καλύτερα προετοιμασμένες για αυτό μπορεί να είναι οι ομάδες που είναι λιγότερο επιρρεπείς στο hack στην πρώτη θέση.

Οι άνθρωποι που χακάρονται περισσότερο είναι επίσης εκείνοι που πιστεύω ότι είναι οι λιγότερο προετοιμασμένοι να χακαριστούν.

Κατασκευές: Τι είδους εργαλεία ή πρακτικές θα πρέπει να χρησιμοποιηθούν για γρήγορη άμυνα έναντι των hacks;  

Lewellen: Αυτό που χρειάζονται πραγματικά [οι χειριστές] είναι κάτι που σας δίνει άμεση ειδοποίηση ή βασικά κάτι που παρακολουθεί τα πάντα on-chain…αναλύοντάς το και στη συνέχεια προσδιορίζοντας, «εκτέθηκαν κάποιοι κίνδυνοι εδώ;»

Εάν μετακινηθούν μεγάλα ποσά κεφαλαίων, είναι πιθανώς εντάξει και αποτελεί μέρος της καθημερινής λειτουργίας, αλλά αν πέσει εκτός του κανόνα…[είναι σημαντικό να έχετε] άμεση ειδοποίηση γι' αυτό.

Εάν μπορείτε να προχωρήσετε παραπέρα και να εντοπίσετε πράγματα που δεν πρέπει ποτέ να συμβούν, όπως χρήματα που βγαίνουν από ένα θησαυροφυλάκιο που θα πρέπει να είναι κλειδωμένα ή περισσότερα κουπόνια από αυτά που θα έπρεπε να υπάρχουν στο απόθεμα κουπόνι που υπάρχει… ξέρετε ότι κάτι συμβαίνει. Εάν δεν καλέσετε τους ανθρώπους αμέσως να απαντήσουν, ίσως ακόμη και να αυτοματοποιήσετε μερικούς από τους τρόπους με τους οποίους θα μπορούσατε να κόψετε αμέσως κάποιες από τις ράμπες εξόδου…ή να ζητήσετε από τους επικυρωτές σας να είναι έτοιμοι να απαντήσουν και ίσως ακόμη και να κάνετε ασκήσεις μαζί τους.

Κατασκευές: Ποιο είναι το κλειδί για τους χειριστές καθώς προσπαθούν να αντιμετωπίσουν τους κινδύνους ασφάλειας στο μέλλον; 

Lewellen: Νομίζω ότι θα γίνει λίγο πιο ειλικρινές με τον ρόλο των διαφορετικών χειριστών και πρωτοκόλλων και ποιες είναι οι διοικητικές εξουσίες. 

Με το blockchain Ethereum, ο τρόπος με τον οποίο ανταποκρίθηκε το Binance Chain δεν θα ήταν δυνατός για το Ethereum, αλλά το Ethereum δημιουργεί επίσης αυτή την προσδοκία ότι η αλυσίδα δεν πρόκειται να παρέμβει και να σας σώσει.

Εάν πρόκειται να έχετε αυτό το είδος προσέγγισης όπου έχετε ένα δίκτυο όπου οι άνθρωποι μπορούν να ανταποκριθούν, είτε το αγκαλιάστε είτε απομακρυνθείτε από αυτό. Είτε να είναι πλήρως αποκεντρωμένο, είτε να είναι αρκετά συγκεντρωμένο ώστε να έχει την ευθύνη να ανταποκρίνεται σε συμβάντα ασφαλείας. Αγκαλιάστε πλήρως τον ρόλο προσπαθώντας να είστε όσο το δυνατόν πιο προετοιμασμένοι και λέγοντας στους χειριστές κόμβων για το δίκτυό σας ότι αυτό θα είναι δική τους ευθύνη.

Αυτή η συνέντευξη έχει επεξεργαστεί για λόγους σαφήνειας και συντομίας.

περιμένει DAS: ΛΟΝΔΙΝΟ και ακούστε πώς βλέπουν τα μεγαλύτερα ιδρύματα TradFi και κρυπτογράφησης το μέλλον της θεσμικής υιοθέτησης της κρυπτογράφησης. Κανω ΕΓΓΡΑΦΗ εδώ.