Pärast BNB ahela häkkimist peavad operaatorid seisma silmitsi detsentraliseerimise küsimusega

Ründajate järel kasutades Binance'i BNB ketti ja 2 miljoni BNB väljavõtmisega maadleb krüptotööstus nüüd detsentraliseerimise, turvaintsidentidele reageerimise ja häkkimiste levimuse küsimustega.

Ruumi operaatorid ja protokollid peavad valima täielikult detsentraliseerituks muutumise või olema paremini ette valmistatud häkkidele reageerimiseks, ütles plokiahela turvafirma lahenduste arhitektuuri juht Michael Lewellen. Avage Zeppelin.

BNB kett ütles reedeses avalduses et viimane ärakasutamine mõjutas BSC Token Hubi – loomulikku ahelatevahelist silda BNB Beacon Chaini ja BNB Smart Chaini vahel.

Plokiahela analüüsiüksus Ahelanalüüs hinnanguliselt augustis et 2 ahelaülese silla häkkimise kaudu varastati 13 miljardi dollari väärtuses krüptovara. Rünnakud sildadele moodustasid 69% tänavu varastatud koguvahenditest, teatas ettevõte toona.

"Detsentraliseeritud ketid ei ole mõeldud peatamiseks, kuid ühenduse valideerijatega ükshaaval ühendust võttes suutsime intsidendi leviku peatada," ütles BNB Chain reedeses avalduses.

BNB Smart Chainil on 26 aktiivset validaatorit ja kokku 44, teatas võrk, lisades, et püüab laiendada validaatoreid, et suurendada edasine detsentraliseerimine.

Kuigi BNB Chain teatas, et "enamik vahendeid jääb kontrolli alla", ei vastanud pressiesindaja kohe täiendavate kommentaaride taotlust. 

Viimane häkkimine sunnib tõenäoliselt operaatoreid tegelema krüptoruumi turvaintsidentidele automatiseeritud reageerimise puudumisega, ütles Lewellen Blockworksile. 

2015. aastal asutatud OpenZeppelinil on platvorm, mis võimaldab kasutajatel hallata nutikat lepingute haldust, nagu juurdepääsu kontroll, versiooniuuendused ja peatamine. Ettevõte kaitseb kümneid miljardeid dollareid raha sellistele organisatsioonidele nagu Coinbase ja Ethereum Foundation.

Jätkake lugemist katkendite saamiseks Blockworksi intervjuust Lewelleniga pärast häkkimist.

Plokitööd: Mida arvate sellest BNB keti viimasest häkkimisest?

Lewellen: See on tegelikult omamoodi veider, kuna see on viga, mis oli eelnevalt koostatud nutikas lepingus.

Binance Chainiga lisasid nad lihtsalt palju funktsioone natiivsesse protokolli, et toetada nutikaid lepinguid, ja sealt see viga lõpuks sisse tuligi. Seega arvan, et tuleb küsida, kas sellised muudatused peaksid olema kohalik protokoll. Võib-olla peaks see sisalduma nutikas lepingus ja jääma protokolli reguleerimisalast välja, sest need asjad on riskantsed.

Me ei tea, kuidas viga protokollis või selle algallikas ilmnes. Kuid see, kus kood asub – ja koodide turvalisuse tase olenevalt sellest, millises kihis need asuvad –, peab olema parem.

Need autoriteeti tõendavad ahelad ja sillad muudavad selle keeruliseks. See pole enam selge hierarhia. Praegu toimub paralleelselt palju erinevaid kihte, millest inimesed peavad olema palju teadlikumad.   

Plokitööd: Kuidas oleks võinud sellele häkkimisele paremini reageerida?

Lewellen: Kuigi ma arvan, et nad reageerisid siin üldiselt hästi, on suurem küsimus… kas see oli tõesti parim, mida saaks teha, kui see roll omaks võtta.

Ma ei saa rääkida sellest, mida Binance Chaini validaatorite kogukond teeb või kuidas nad selliseid asju koordineerivad või praktiseerivad, kuid ilmselgelt on nad seda nüüd korra harjutanud.

Ma räägin kellegina väljastpoolt, kuid nähes, kuidas teised DeFi projektid sellele kliendina reageerivad, arvan, et seal võiks olla palju rohkem hoolsust ja kellegi rolli omaksvõtmist, kes suudab turvaintsidentidele reageerida. 

Ja kui neil seda rolli ei ole, peavad nad sellega lihtsalt väga avameelsed olema. Olenemata sellest, kas on kõhklusi seda mõnel juhul kasutada ja võib-olla mitte, on see praegu ilmselgelt olemas ja ma arvan, et seda saaks tulevikus paremini teha, kui sellest palju õppida.   

Plokitööd: Kas saate tuua näiteid tõhusast automatiseeritud kiirest reageerimisest häkkimisele?

Lewellen: Oleme alles algusjärgus. Ma arvan, et me näeme meeskondi, kes saavad asjade tuvastamisel ja reageerimisel aina paremini hakkama, kuid ausalt öeldes arvan, et neid häkkimisi on juhtunud sildadel, mis minu arvates pole samaväärset hoolsuskohustust omaks võtnud.

Ma arvan, et me pole näinud selleks head juhtumit. Teame, et see on võimalik, oleme OpenZeppelinis teinud simulatsioone, et teada saada, et see on teostatav, ja oleme loonud selle lahendamiseks tööriistu. Kuid iroonilisel kombel arvan, et meeskonnad võivad selleks kõige paremini valmistuda meeskonnad, kes on kõige vähem vastuvõtlikud häkkimisele.

Inimesed, keda häkitakse kõige rohkem, on ka need, kes on minu arvates häkkimiseks kõige vähem valmis.

Plokitööd: Milliseid tööriistu või tavasid tuleks häkkimise eest kiireks kaitseks kasutada?  

Lewellen: See, mida [operaatorid] tegelikult vajavad, on midagi, mis annaks teile kohe teada või põhimõtteliselt midagi, mis jälgib kõike ahelas... analüüsib seda ja seejärel teeb kindlaks, "kas siin oli riske?"

Kui suuri summasid raha liigutatakse, on see tõenäoliselt hea ja osa igapäevatoimingutest, kuid kui see langeb normist välja… [on oluline, et oleksite] sellest kohe teavitatud.

Kui suudate minna kaugemale ja tuvastada asju, mida ei tohiks kunagi juhtuda, näiteks raha liigub välja varahoidlast, mis peaks olema lukustatud, või rohkem märke, kui peaks olema olemasolevas žetoonis, siis teate, et midagi toimub. Kui mitte kutsuda inimesi koheselt reageerima, võib-olla isegi automatiseerida mõningaid viise, mille abil saaksite kohe maha lõigata mõned väljasõidukaldteed... või panna validaatorid reageerima ja võib-olla isegi nendega õppusi teha.

Plokitööd: Mis on operaatorite jaoks võti, kui nad püüavad edaspidi turvariske käsitleda? 

Lewellen: Ma arvan, et see muutub veidi ausamaks erinevate operaatorite ja protokollide rolli ning haldusvolituste osas. 

Ethereumi plokiahela puhul poleks Binance Chaini reaktsioon olnud Ethereumi jaoks võimalik, kuid Ethereum loob ka selle ootuse, et kett ei sekku ega päästa teid.

Kui teil on selline lähenemine, kus teil on võrgustik, kus inimesed saavad vastata, võtke see omaks või eemalduge sellest. Olge kas täielikult detsentraliseeritud või piisavalt tsentraliseeritud, et vastutada turvaintsidentidele reageerimise eest. Võtke roll täielikult omaks, püüdes olla võimalikult valmis ja öeldes oma võrgu sõlmeoperaatoritele, et see on nende vastutus.

Seda intervjuud on selguse ja lühiduse huvides muudetud.

ootab DAS: LONDON ja kuulake, kuidas suurimad TradFi ja krüptoasutused näevad krüpto institutsionaalse kasutuselevõtu tulevikku. Registreeri siin.