Après le piratage de la chaîne BNB, les opérateurs doivent faire face à la question de la décentralisation

Suivre les attaquants exploitant la chaîne BNB de Binance et en retirant 2 millions de BNB, l'industrie de la cryptographie est désormais aux prises avec des questions de décentralisation, de réponses aux incidents de sécurité et de prévalence des hacks.

Les opérateurs et les protocoles dans l'espace doivent choisir de devenir entièrement décentralisés ou d'être mieux préparés à répondre aux piratages, a déclaré Michael Lewellen, responsable de l'architecture des solutions chez la société de sécurité blockchain. le openzeppel.

Chaîne BNB dit dans un communiqué vendredi que le dernier exploit a affecté BSC Token Hub – le pont inter-chaîne natif entre BNB Beacon Chain et BNB Smart Chain.

Unité d'analyse de la blockchain Chainalysis estimée en août que 2 milliards de dollars de crypto avaient été volés à travers 13 hacks de ponts inter-chaînes. Les attaques contre les ponts ont représenté 69% du total des fonds volés cette année, a déclaré la société à l'époque.

"Les chaînes décentralisées ne sont pas conçues pour être arrêtées, mais en contactant les validateurs communautaires un par un, nous avons pu empêcher l'incident de se propager", a déclaré BNB Chain dans un communiqué vendredi.

BNB Smart Chain compte 26 validateurs actifs et 44 au total, a indiqué le réseau, ajoutant qu'il cherche à étendre les validateurs pour stimuler poursuite de la décentralisation.

Bien que BNB Chain ait signalé que "la grande majorité des fonds restent sous contrôle", un porte-parole n'a pas immédiatement renvoyé une demande de commentaires supplémentaires. 

Le dernier piratage est susceptible d'inciter les opérateurs à remédier au manque de réponse automatisée aux incidents de sécurité dans l'espace crypto, a déclaré Lewellen à Blockworks. 

Fondée en 2015, OpenZeppelin dispose d'une plate-forme permettant aux utilisateurs de gérer l'administration des contrats intelligents, tels que les contrôles d'accès, les mises à niveau et les pauses. La société protège des dizaines de milliards de dollars de fonds pour des organisations telles que Coinbase et la Fondation Ethereum.

Continuez à lire pour des extraits de l'interview de Blockworks avec Lewellen après le piratage.

Blocages : Que pensez-vous de ce dernier hack sur la chaîne BNB ?

Lewellen : C'est en fait un peu bizarre, car il s'agit d'un bogue qui figurait dans un contrat intelligent pré-compilé.

Avec Binance Chain, ils ajoutaient simplement de nombreuses fonctionnalités au protocole natif pour prendre en charge les contrats intelligents, et c'est là que le bogue a fini par apparaître. Je pense donc qu'il faut se demander si ces types de changements devraient être dans un protocole natif. Peut-être que cela devrait être contenu dans un contrat intelligent et maintenu en dehors du champ d'application du protocole, car ces choses sont risquées.

Nous ne savons pas comment le bogue est apparu dans le protocole ou sa source d'origine. Mais où se trouve le code - et le niveau de sécurité des éléments de code en fonction de la couche dans laquelle ils se trouvent - doit être amélioré.

Ces chaînes et ces ponts de preuve d'autorité compliquent un peu les choses. Ce n'est plus une hiérarchie claire. Il y a maintenant beaucoup de couches différentes qui se déroulent en parallèle dont les gens doivent être beaucoup plus conscients.   

Blocages : Comment la réponse à ce piratage aurait-elle pu être meilleure ?

Lewellen : Bien que je pense qu'ils ont bien répondu dans l'ensemble ici, il y a une question plus large de… était-ce vraiment le mieux qui pouvait être fait si ce rôle était adopté.

Je ne peux pas parler de ce que fait la communauté des validateurs Binance Chain ou de la façon dont ils coordonnent ou pratiquent ce genre de choses… mais ils l'ont évidemment pratiqué une fois maintenant.

Je parle en tant que personne de l'extérieur, mais en voyant d'autres projets DeFi répondre à cela en tant que client, je pense qu'il pourrait y avoir beaucoup plus de diligence et d'embrasser le rôle de quelqu'un qui a la capacité de répondre aux incidents de sécurité. 

Et s'ils n'ont pas le rôle, ils doivent juste être très francs avec ça. Qu'il y ait une hésitation à l'utiliser dans certains cas et peut-être pas dans d'autres, à l'heure actuelle, il existe évidemment et je pense que cela pourrait être mieux fait à l'avenir si nous en apprenons beaucoup.   

Blocages : Pouvez-vous citer des exemples de réponse instantanée automatisée efficace à un piratage ?

Lewellen : Nous en sommes encore aux premiers stades. Je pense que nous voyons des équipes qui s'améliorent pour détecter les choses et réagir, mais je pense honnêtement que ces piratages se sont produits sur des ponts qui, je pense, n'ont pas adopté le même niveau de diligence raisonnable.

Je ne pense pas que nous ayons vu un bon cas pour cela. Nous savons que c'est possible, nous avons fait des simulations chez OpenZeppelin pour savoir que c'est faisable, et nous avons construit des outils pour y remédier. Mais ironiquement, je pense que les équipes les mieux préparées à cela pourraient être les équipes les moins susceptibles d'être piratées en premier lieu.

Les personnes qui se font le plus pirater sont aussi celles qui, à mon avis, sont les moins préparées à se faire pirater.

Blocages : Quels types d'outils ou de pratiques faut-il utiliser pour se défendre rapidement contre les piratages ?  

Lewellen : Ce dont [les opérateurs] ont vraiment besoin, c'est de quelque chose qui vous donne une notification immédiate, ou fondamentalement quelque chose qui surveille tout sur la chaîne… l'analyse et détermine ensuite, "y a-t-il des risques exposés ici?"

Si de grosses sommes d'argent sont déplacées, c'est probablement bien et cela fait partie des opérations quotidiennes, mais si cela sort de la norme… [il est important d'avoir] une notification immédiate de cela.

Si vous pouvez aller plus loin et détecter des choses qui ne devraient jamais se produire, comme de l'argent sortant d'un coffre-fort qui devrait être verrouillé ou plus de jetons que ce qui devrait être dans l'offre de jetons existante… vous savez que quelque chose se passe. Si vous ne demandez pas aux gens de répondre immédiatement, peut-être même automatisez-vous certaines des façons dont vous pourriez immédiatement réduire certaines des rampes de sortie… ou faites en sorte que vos validateurs soient prêts à répondre et peut-être même à faire des exercices avec eux.

Blocages : Quelle est la clé pour les opérateurs qui cherchent à faire face aux risques de sécurité à l'avenir ? 

Lewellen : Je pense que cela va devenir un peu plus honnête avec le rôle des différents opérateurs et protocoles et quels sont les pouvoirs administratifs. 

Avec la blockchain Ethereum, la façon dont Binance Chain a répondu n'aurait pas été possible pour Ethereum, mais Ethereum crée également cette attente que la chaîne n'interviendra pas et ne vous sauvera pas.

Si vous allez avoir ce genre d'approche où vous avez un réseau où les gens peuvent réagir, adoptez-le ou éloignez-vous-en. Soit être entièrement décentralisé, soit être suffisamment centralisé pour avoir la responsabilité de répondre aux incidents de sécurité. Assumez pleinement le rôle en essayant d'être aussi préparé que possible et en disant aux opérateurs de nœuds de votre réseau que ce sera leur responsabilité.

Cette interview a été modifiée pour plus de clarté et de concision.

Participer DAS : LONDRES et découvrez comment les plus grandes institutions TradFi et crypto voient l'avenir de l'adoption institutionnelle de la crypto. S'inscrire ici.