A BNB Chain Hack után az üzemeltetőknek szembe kell nézniük a decentralizáció kérdésével

A támadók nyomában kihasználva a Binance BNB-láncát és 2 millió BNB visszavonásával a kriptoipar most a decentralizáció, a biztonsági incidensekre adott válaszok és a hackek elterjedtsége kérdéseivel küszködik.

A tér üzemeltetőinek és protokolljainak dönteniük kell, hogy teljesen decentralizáltak lesznek, vagy jobban fel kell készülniük a feltörésekre – mondta Michael Lewellen, a blokklánc biztonsági cég megoldásarchitektúrájának vezetője. Nyissa meg a Zeppelint.

– mondta a BNB-lánc pénteki közleményében hogy a legújabb exploit a BSC Token Hub-ot érintette – a BNB Beacon Chain és a BNB Smart Chain közötti natív keresztlánc-híd.

Blockchain elemző egység A láncelemzés becslése augusztusban hogy 2 milliárd dollár értékű kriptot loptak el 13 keresztlánc-híd feltörése során. A vállalat akkori tájékoztatása szerint a hidak elleni támadások tették ki az összes ellopott pénz 69%-át ebben az évben.

"A decentralizált láncokat nem arra tervezték, hogy megállítsák, de a közösségi érvényesítőkkel egyenként felvették a kapcsolatot, meg tudtuk állítani az incidens továbbterjedését" - áll a BNB Lánc pénteki közleményében.

A BNB Smart Chainnek 26 aktív validátora van, és összesen 44 - közölte a hálózat, hozzátéve, hogy a validátorok bővítését igyekszik növelni. további decentralizáció.

Bár a BNB Chain arról számolt be, hogy „az alapok túlnyomó többsége továbbra is ellenőrzés alatt áll”, a szóvivő nem válaszolt azonnal további megjegyzésekre. 

A legújabb hack valószínűleg arra sarkallja az üzemeltetőket, hogy foglalkozzanak a kriptográfiai tér biztonsági incidenseire adott automatizált válaszlépések hiányával, mondta Lewellen a Blockworksnek. 

A 2015-ben alapított OpenZeppelin olyan platformmal rendelkezik, amely lehetővé teszi a felhasználók számára az intelligens szerződés-adminisztráció kezelését, például a hozzáférés-szabályozást, a frissítéseket és a szüneteltetéseket. A vállalat több tízmilliárd dollárt biztosít olyan szervezetek számára, mint a Coinbase és az Ethereum Alapítvány.

Olvasson tovább részletekért a Blockworks Lewellennel készített interjújából a feltörést követően.

Blockworks: Mit szólsz ehhez a legújabb hackhez a BNB-láncon?

Lewellen: Ez valójában egyfajta furcsa, mivel ez egy hiba, amely egy előre összeállított intelligens szerződésben volt.

A Binance Chain-nel csak sok olyan funkciót adtak a natív protokollhoz, amelyek támogatják az intelligens szerződéseket, és itt lépett be a hiba. Úgy gondolom tehát, hogy fel kell tenni a kérdést, hogy az effajta változtatásokat egy natív protokoll. Talán egy intelligens szerződésbe kellene foglalni, és kívül kell tartani a protokoll hatályán, mert ezek kockázatosak.

Nem tudjuk, hogyan jelent meg a hiba a protokollon belül vagy annak eredeti forrásában. De ahol a kód található – és a kódrészek biztonsági szintje attól függően, hogy melyik rétegben vannak –, jobbnak kell lennie.

Ezek a bizonyítási láncok és hidak némileg bonyolítják ezt. Ez már nem egyértelmű hierarchia. Jelenleg sok különböző réteg zajlik párhuzamosan, amelyekre az embereknek sokkal tudatosabbnak kell lenniük.   

Blockworks: Hogyan lehetett volna jobb reakció erre a hack-re?

Lewellen: Bár szerintem összességében jól reagáltak itt, van egy nagyobb kérdés, hogy valóban ez a legjobb, amit megtehetnénk, ha ezt a szerepet felvállalnánk.

Nem tudok beszélni arról, hogy mit csinál a Binance Chain validátor közösség, vagy hogyan koordinálják vagy gyakorolják az efféle dolgokat… de nyilvánvalóan ezt már egyszer gyakorolták.

Úgy beszélek, mint valaki kívülről, de látva, hogy más DeFi projektek ügyfeleikként reagálnak erre, úgy gondolom, hogy sokkal több szorgalom és olyan szerepvállalás lehetne, aki képes reagálni a biztonsági incidensekre. 

És ha nincs meg a szerepük, csak nagyon előre kell állniuk ezzel. Függetlenül attól, hogy van-e tétovázás egyes esetekben, és esetleg nem, jelenleg nyilvánvalóan létezik, és úgy gondolom, hogy a jövőben jobban meg lehetne csinálni, ha sokat tanulunk belőle.   

Blockworks: Tudsz példát mutatni a feltörésre adott hatékony automatizált azonnali válaszra?

Lewellen: Még a kezdeti szakaszban vagyunk. Azt hiszem, látunk olyan csapatokat, amelyek egyre jobbak a dolgok észlelésében és a reagálásban, de őszintén szólva azt gondolom, hogy ezek a feltörések olyan hidakon fordultak elő, amelyekről nem hiszem, hogy ugyanazt a szintű átvilágítást alkalmazták volna.

Szerintem erre nem láttunk jó esetet. Tudjuk, hogy ez lehetséges, szimulációkat végeztünk az OpenZeppelinnél, hogy tudjuk, hogy ez megvalósítható, és eszközöket építettünk a megoldásra. De ironikus módon azt gondolom, hogy a legjobban felkészült csapatok azok a csapatok lehetnek, amelyek a legkevésbé hajlamosak a feltörésre.

Szerintem azokat az embereket törik fel a legtöbbször, akik a legkevésbé vannak felkészülve a feltörésre.

Blockworks: Milyen eszközöket vagy gyakorlatokat kell használni a feltörések elleni gyors védekezéshez?  

Lewellen: Amire [az üzemeltetőknek] igazán szükségük van, az az, ami azonnali értesítést ad, vagy alapvetően valami, ami mindent figyel a láncon… elemzi, majd megállapítja, „volt itt kockázat?”

Ha nagy mennyiségű pénz kerül áthelyezésre, az valószínűleg rendben van, és a napi tevékenység része, de ha ez kiesik a normából… [fontos, hogy] azonnal értesítsenek erről.

Ha tovább tud lépni, és olyan dolgokat észlel, amelyeknek soha nem szabadna megtörténnie, mint például a pénz kimozdulása a páncélszekrényből, amelyet le kellene zárni, vagy több token van, mint amennyinek a meglévő tokenkészletben kellene lennie… akkor tudja, hogy valami történik. Ha nem hívja fel azonnal az embereket a válaszadásra, talán még automatizálja is azokat a módokat, amelyek segítségével azonnal levághat néhány kijárati rámpát… vagy készenlétben tarthatja az ellenőrzőket, és talán még gyakorlatokat is végezhet velük.

Blockworks: Mi a kulcs az üzemeltetők számára a jövőbeni biztonsági kockázatok kezelésére? 

Lewellen: Azt hiszem, egy kicsit őszintébb lesz a különböző operátorok és protokollok szerepe, valamint az adminisztratív hatáskörök tekintetében. 

Az Ethereum blokklánccal a Binance Chain reakciója nem lett volna lehetséges az Ethereum számára, de az Ethereum azt az elvárást is megteremti, hogy a lánc nem lép közbe és nem ment meg.

Ha ezt a fajta megközelítést szeretné használni, ahol van egy hálózat, ahol az emberek válaszolhatnak, vagy elfogadják, vagy eltávolodnak tőle. Vagy teljesen decentralizált, vagy elég centralizált ahhoz, hogy felelősséggel tartozzon a biztonsági incidensekre való reagálásért. Teljesen magáévá tegye ezt a szerepet úgy, hogy a lehető legfelkészültebbé váljon, és közölje a hálózat csomópont-üzemeltetőivel, hogy ez az ő felelősségük lesz.

Ezt az interjút az egyértelműség és a rövidség kedvéért szerkesztettük.

Részt vesz DAS: LONDON és hallgassa meg, hogyan látják a legnagyobb TradFi és kriptointézetek a kriptográfia intézményi bevezetésének jövőjét. Regisztráció itt.