BNB Chain Hackin jälkeen operaattoreiden on kohdattava hajauttaminen

Hyökkääjien perässä hyödyntää Binancen BNB-ketjua ja poistamalla 2 miljoonaa BNB, kryptoteollisuus kamppailee nyt hajauttamiseen, tietoturvaloukkauksiin reagoimiseen ja hakkerointien yleisyyteen liittyvien kysymysten kanssa.

Avaruudessa toimivien operaattoreiden ja protokollien on valittava hajautetuiksi tai valmistautumaan paremmin hakkeroihin, sanoi Michael Lewellen, blockchain-turvayrityksen ratkaisuarkkitehtuurin johtaja. Avaa Zeppelin.

BNB Chain sanoi tiedotteessa perjantaina että viimeisin hyöty koski BSC Token Hubia – alkuperäistä ketjujen välistä siltaa BNB Beacon Chainin ja BNB Smart Chainin välillä.

Blockchain-analytiikkayksikkö Ketjuanalyysi arvioitu elokuussa että 2 miljardin dollarin arvosta kryptoa oli varastettu 13 ketjujen välisen siltahakkeroinnin kautta. Siltojen hyökkäykset muodostivat 69 prosenttia kaikista tänä vuonna varastetuista varoista, yhtiö sanoi tuolloin.

"Hajautettuja ketjuja ei ole suunniteltu pysäytettäväksi, mutta ottamalla yhteyttä yhteisön validaattoreihin yksitellen pystyimme pysäyttämään tapauksen leviämisen", BNB Chain sanoi perjantaina.

BNB Smart Chainilla on 26 aktiivista validaattoria ja yhteensä 44, verkosto totesi ja lisäsi, että se pyrkii laajentamaan validaattoreita tehostaakseen hajauttaminen edelleen.

Vaikka BNB Chain ilmoitti, että "valtaosa rahastoista pysyy hallinnassa", tiedottaja ei heti vastannut lisäkommenttipyyntöä. 

Viimeisin hakkerointi todennäköisesti kannustaa operaattoreita puuttumaan automaattisen reagoinnin puutteeseen krypto-avaruuden tietoturvahäiriöihin, Lewellen kertoi Blockworksille. 

Vuonna 2015 perustetussa OpenZeppelinissä on alusta, jonka avulla käyttäjät voivat hallita älykästä sopimushallintaa, kuten kulunvalvontaa, päivityksiä ja keskeytyksiä. Yhtiö turvaa kymmeniä miljardeja dollareita varoja sellaisille organisaatioille kuin Coinbase ja Ethereum Foundation.

Jatka lukemista saadaksesi otteita Blockworksin haastattelusta Lewellenin kanssa hakkeroinnin jälkeen.

Lohkotyöt: Mitä mieltä olet tästä uusimmasta BNB-ketjun hakkeroinnista?

Lewellen: Tämä on itse asiassa jotenkin outo, koska tämä on bugi, joka oli ennalta laaditussa älykkäässä sopimuksessa.

Binance Chainin avulla he vain lisäsivät monia ominaisuuksia natiiviprotokollaan tukemaan älykkäitä sopimuksia, ja sieltä se vika päätyi. Joten mielestäni on kysyttävä, pitäisikö tällaisia ​​muutoksia tehdä natiivi protokolla. Ehkä se pitäisi sisällyttää älykkääseen sopimukseen ja pitää pöytäkirjan soveltamisalan ulkopuolella, koska nämä asiat ovat vaarallisia.

Emme tiedä, miten vika ilmeni protokollan sisällä tai sen alkuperäisessä lähteessä. Mutta missä koodi on – ja koodin osien turvallisuustaso riippuen siitä, missä tasossa ne ovat – on parannettava.

Nämä todistusketjut ja -sillat vaikeuttavat asiaa. Se ei ole enää selkeä hierarkia. Nyt tapahtuu monia eri kerroksia rinnakkain, joista ihmisten on oltava paljon tietoisempia.   

Lohkotyöt: Miten vastaus tähän hakkerointiin olisi voinut olla parempi?

Lewellen: Vaikka mielestäni he vastasivat täällä yleisesti hyvin, on suurempi kysymys… oliko tämä todella paras, mitä voitaisiin tehdä, jos tämä rooli hyväksyttäisiin.

En voi puhua siitä, mitä Binance Chain -validaattoriyhteisö tekee tai kuinka he koordinoivat tai harjoittelevat tällaisia ​​asioita… mutta he ovat ilmeisesti harjoittaneet sitä nyt kerran.

Puhun ulkopuolelta tulevana, mutta nähdessäni muiden DeFi-projektien reagoivan tähän asiakkaana, uskon, että siellä voisi olla paljon enemmän huolellisuutta ja sellaisen roolin omaksumista, jolla on kyky reagoida tietoturvahäiriöihin. 

Ja jos heillä ei ole roolia, heidän on vain oltava hyvin etukäteen sen kanssa. Olipa epäröintiä käyttää sitä joissakin tapauksissa ja ehkä ei toisissa, tällä hetkellä se on ilmeisesti olemassa ja mielestäni se voitaisiin tehdä paremmin tulevaisuudessa, jos opimme tästä paljon.   

Lohkotyöt: Voitko osoittaa esimerkkejä tehokkaasta automaattisesta välittömästä vastauksesta hakkerointiin?

Lewellen: Olemme vielä alkuvaiheessa. Luulen, että näemme tiimejä, jotka ovat paranemassa havaitsemaan asioita ja reagoimaan, mutta uskon rehellisesti, että näitä hakkereita on tapahtunut silloissa, jotka eivät mielestäni ole omaksuneet samantasoista due diligence -toimintaa.

En usko, että olemme nähneet sille hyvää syytä. Tiedämme, että se on mahdollista, olemme tehneet OpenZeppelinissä simulaatioita tietääksemme, että se on mahdollista, ja olemme rakentaneet työkaluja sen ratkaisemiseksi. Mutta ironista kyllä, uskon, että siihen parhaiten valmistautuneita joukkueita voivat olla ne joukkueet, jotka ovat vähiten alttiita hakkerointiin.

Ihmiset, joita hakkeroidaan eniten, ovat myös mielestäni vähiten valmiita hakkerointiin.

Lohkotyöt: Millaisia ​​työkaluja tai käytäntöjä tulisi käyttää nopeaan hakkerointia vastaan?  

Lewellen: Mitä [operaattorit] todella tarvitsevat, on jotain, joka antaa sinulle välittömän ilmoituksen, tai periaatteessa jotain, joka seuraa kaikkea ketjussa… analysoida sitä ja sitten määrittää, "oliko täällä riskejä?"

Jos suuria määriä varoja siirretään, se on luultavasti hyvä ja osa päivittäistä toimintaa, mutta jos se putoaa normaalista… [on tärkeää saada] välittömästi ilmoitus siitä.

Jos voit mennä pidemmälle ja havaita asioita, joita ei koskaan pitäisi tapahtua, kuten rahan liikkuminen holvista, jonka pitäisi olla lukittu, tai enemmän rahakkeita kuin mitä pitäisi olla olemassa olevassa token-varannossa… tiedät, että jotain tapahtuu. Jos et saa ihmisiä heti päivystykseen vastaamaan, ehkä jopa automatisoi joitain tapoja, joilla saatat välittömästi leikata joitakin poistumisramppeja… tai saada validaattorisi olemaan valmiita vastaamaan ja ehkä jopa harjoittelemaan heidän kanssaan.

Lohkotyöt: Mikä on avain operaattoreille, kun he pyrkivät käsittelemään turvallisuusriskejä tulevaisuudessa? 

Lewellen: Luulen, että siitä tulee hieman rehellisempää eri operaattoreiden ja protokollien roolin ja hallinnollisten valtuuksien suhteen. 

Ethereumin lohkoketjulla tapa, jolla Binance Chain reagoi, ei olisi ollut mahdollista Ethereumille, mutta Ethereum luo myös tämän odotuksen, että ketju ei astu väliin ja pelasta sinua.

Jos aiot käyttää sellaista lähestymistapaa, jossa sinulla on verkosto, jossa ihmiset voivat vastata, joko omaksua se tai siirtyä pois siitä. Se on joko täysin hajautettu tai riittävän keskitetty, jotta sinulla on vastuu turvaloukkauksiin reagoimisesta. Ota rooli täysin vastaan ​​yrittämällä olla mahdollisimman valmis ja kertomalla verkkosi solmuoperaattoreille, että tämä on heidän vastuullaan.

Tätä haastattelua on muokattu selvyyden ja lyhyyden vuoksi.

käydä DAS: LONTOON ja kuule kuinka suurimmat TradFi- ja kryptoinstituutiot näkevät krypton institutionaalisen käyttöönoton tulevaisuuden. Rekisteröidy tästä.