پس از هک زنجیره ای BNB، اپراتورها باید با مشکل عدم تمرکز روبرو شوند

تعقیب مهاجمان بهره برداری از زنجیره BNB بایننس و با برداشت 2 میلیون BNB، صنعت کریپتو اکنون با مسائل مربوط به عدم تمرکز، پاسخ به حوادث امنیتی و شیوع هک ها دست و پنجه نرم می کند.

مایکل لولن، رئیس معماری راه‌حل‌ها در شرکت امنیت بلاک چین، گفت: اپراتورها و پروتکل‌های موجود در فضا باید انتخاب کنند که کاملاً غیرمتمرکز شوند یا برای پاسخ به هک‌ها آمادگی بهتری داشته باشند. openzeppel.

BNB Chain گفت در بیانیه ای روز جمعه که آخرین اکسپلویت BSC Token Hub را تحت تاثیر قرار داد - پل زنجیره ای بومی بین BNB Beacon Chain و BNB Smart Chain.

واحد تحلیل بلاک چین تجزیه و تحلیل زنجیره ای در ماه اوت برآورد شد 2 میلیارد دلار ارز دیجیتال از طریق 13 هک پل متقابل زنجیره ای به سرقت رفته است. این شرکت در آن زمان گفت که حملات به پل ها 69 درصد از کل وجوه سرقت شده در سال جاری را تشکیل می دهد.

BNB Chain در بیانیه‌ای روز جمعه گفت: «زنجیره‌های غیرمتمرکز برای متوقف شدن طراحی نشده‌اند، اما با تماس با اعتباردهندگان جامعه یک به یک، ما توانستیم از گسترش این حادثه جلوگیری کنیم.»

این شبکه اعلام کرد که زنجیره هوشمند BNB دارای 26 اعتبارسنجی فعال و در مجموع 44 اعتبارسنجی است و افزود که به دنبال گسترش اعتبارسنجی ها برای تقویت است. تمرکززدایی بیشتر.

اگرچه BNB Chain گزارش داد "اکثریت قریب به اتفاق وجوه تحت کنترل باقی مانده است"، یک سخنگوی بلافاصله درخواستی برای اظهار نظر بیشتر نداد. 

لولن به Blockworks گفت که آخرین هک احتمالا اپراتورها را تشویق می کند تا به عدم پاسخگویی خودکار به حوادث امنیتی در فضای کریپتو رسیدگی کنند. 

OpenZeppelin که در سال 2015 تأسیس شد، دارای پلتفرمی است که به کاربران اجازه می دهد مدیریت قراردادهای هوشمند مانند کنترل های دسترسی، ارتقاء و توقف را مدیریت کنند. این شرکت از ده ها میلیارد دلار سرمایه برای سازمان هایی مانند کوین بیس و بنیاد اتریوم محافظت می کند.

به خواندن گزیده هایی از مصاحبه Blockworks با Lewellen پس از هک ادامه دهید.

بلوک ورک: نظر شما از این آخرین هک در زنجیره BNB چیست؟

لولن: این در واقع یک نوع عجیب است، زیرا این یک باگی است که در یک قرارداد هوشمند از پیش کامپایل شده بود.

با Binance Chain، آن‌ها فقط ویژگی‌های زیادی را به پروتکل بومی اضافه می‌کردند تا از قراردادهای هوشمند پشتیبانی کنند، و این همان جایی بود که باگ ظاهر شد. بنابراین فکر می‌کنم باید این سوال وجود داشته باشد که آیا این نوع تغییرات باید در یک پروتکل بومی شاید باید در یک قرارداد هوشمند گنجانده شود و خارج از محدوده پروتکل نگه داشته شود زیرا این موارد خطرناک هستند.

ما نمی دانیم این اشکال چگونه در داخل پروتکل یا منبع اصلی آن ظاهر شده است. اما جایی که کد وجود دارد - و سطح ایمنی قطعات کد بسته به لایه ای که در آن قرار دارند - باید بهتر باشد.

این زنجیره‌ها و پل‌های اثبات اقتدار به نوعی آن را پیچیده می‌کنند. این دیگر یک سلسله مراتب واضح نیست. اکنون بسیاری از لایه های مختلف به طور موازی اتفاق می افتند که مردم باید نسبت به آنها آگاهی بیشتری داشته باشند.   

بلوک ورک: چگونه پاسخ به این هک می توانست بهتر باشد؟

لولن: در حالی که من فکر می‌کنم آنها به طور کلی در اینجا به خوبی پاسخ دادند، یک سوال بزرگتر وجود دارد که... آیا این واقعا بهترین کاری بود که می‌توانست انجام داد اگر آن نقش را پذیرفت.

من نمی توانم در مورد آنچه که انجمن اعتبارسنجی زنجیره بایننس انجام می دهد یا نحوه هماهنگی یا تمرین آنها برای این نوع چیزها صحبت کنم ... اما واضح است که آنها یک بار آن را تمرین کرده اند.

من به عنوان فردی از بیرون صحبت می‌کنم، اما با دیدن سایر پروژه‌های DeFi که به عنوان مشتری خود به این موضوع پاسخ می‌دهند، فکر می‌کنم می‌تواند تلاش بسیار بیشتری داشته باشد و نقش فردی که توانایی پاسخگویی به حوادث امنیتی را دارد، بیشتر شود. 

و اگر آنها نقش را ندارند، فقط باید در این زمینه بسیار پیشرو باشند. چه تردیدی در استفاده از آن در برخی موارد وجود داشته باشد و چه بسا در موارد دیگر، در حال حاضر بدیهی است که وجود دارد و من فکر می‌کنم اگر از این موضوع چیزهای زیادی یاد بگیریم، می‌توان آن را در آینده بهتر انجام داد.   

بلوک ورک: آیا می‌توانید به نمونه‌هایی از پاسخ فوری خودکار مؤثر به هک اشاره کنید؟

لولن: ما هنوز در مراحل اولیه هستیم. من فکر می‌کنم تیم‌هایی را می‌بینیم که در تشخیص چیزها و پاسخ‌دهی بهتر شده‌اند، اما من فکر می‌کنم صادقانه بگویم که این هک‌ها روی پل‌هایی اتفاق می‌افتند که فکر نمی‌کنم آن سطح از دقت لازم را داشته باشند.

فکر نمی کنم مورد خوبی برای آن دیده باشیم. ما می دانیم که ممکن است، شبیه سازی ها را در OpenZeppelin انجام داده ایم تا بدانیم امکان پذیر است، و ابزارهایی برای رسیدگی به آن ساخته ایم. اما از قضا فکر می‌کنم تیم‌هایی که بهترین آمادگی را برای آن دارند، ممکن است تیم‌هایی باشند که در وهله اول کمتر مستعد هک شدن باشند.

افرادی که بیش از همه هک می شوند نیز افرادی هستند که به نظر من کمترین آمادگی را برای هک شدن دارند.

بلوک ورک: برای دفاع سریع در برابر هک ها از چه ابزارها یا شیوه هایی باید استفاده کرد؟  

لولن: آنچه [اپراتورها] واقعاً به آن نیاز دارند چیزی است که به شما اطلاع رسانی فوری بدهد، یا اساساً چیزی است که همه چیز را به صورت زنجیره ای تماشا می کند ... تجزیه و تحلیل آن و سپس تعیین اینکه "آیا خطری در اینجا وجود دارد؟"

اگر مقدار زیادی از وجوه جابه‌جا شود، احتمالاً خوب است و بخشی از عملیات روزمره است، اما اگر از حد معمول خارج شود... [مهم است] اطلاع‌رسانی فوری در مورد آن داشته باشید.

اگر بتوانید جلوتر بروید و چیزهایی را شناسایی کنید که هرگز نباید اتفاق بیفتند، مانند خروج پول از یک انبار که باید قفل شده باشد یا توکن‌های بیشتری از آنچه باید در عرضه توکن موجود باشد... می‌دانید که چیزی در حال رخ دادن است. اگر افراد را فوراً برای پاسخگویی در تماس قرار نمی‌دهید، شاید حتی برخی از راه‌هایی را خودکار کنید که ممکن است فوراً برخی از رمپ‌های خروجی را قطع کنید... یا وادار کردن اعتبارسنجی‌های خود برای پاسخ‌گویی آماده شوند و شاید حتی تمرین‌هایی را با آنها انجام دهید.

بلوک ورک: کلیدی که اپراتورها به دنبال مقابله با خطرات امنیتی در آینده هستند چیست؟ 

لولن: فکر می‌کنم با نقش اپراتورها و پروتکل‌های مختلف و قدرت‌های اداری کمی صادق‌تر می‌شود. 

با بلاک چین اتریوم، روشی که بایننس چین به آن پاسخ داد برای اتریوم ممکن نبود، اما اتریوم همچنین این انتظار را ایجاد می کند که زنجیره وارد عمل نشده و شما را نجات دهد.

اگر می خواهید چنین رویکردی داشته باشید که در آن شبکه ای دارید که مردم می توانند پاسخ دهند، یا آن را بپذیرید یا از آن دور شوید. یا کاملاً غیرمتمرکز باشند، یا به اندازه کافی متمرکز باشند که مسئولیت پاسخگویی به حوادث امنیتی را بر عهده داشته باشند. با تلاش برای آمادگی تا حد امکان و گفتن به اپراتورهای گره برای شبکه خود که مسئولیت آنها بر عهده آنها خواهد بود، نقش را به طور کامل پذیرفت.

این مصاحبه برای وضوح و اختصار ویرایش شده است.

منتظر DAS: لندن و بشنوید که چگونه بزرگترین موسسات TradFi و رمزارزها آینده پذیرش نهادی کریپتو را می بینند. ثبت نام اینجا.