Setelah BNB Chain Hack, Operator Harus Menghadapi Pertanyaan Desentralisasi

Mengikuti penyerang mengeksploitasi Rantai BNB Binance dan menarik 2 juta BNB, industri crypto sekarang bergulat dengan pertanyaan tentang desentralisasi, tanggapan terhadap insiden keamanan dan prevalensi peretasan.

Operator dan protokol di ruang harus memilih untuk menjadi sepenuhnya terdesentralisasi atau lebih siap untuk menanggapi peretasan, kata Michael Lewellen, kepala arsitektur solusi di perusahaan keamanan blockchain Buka Zeppelin.

Rantai BNB berkata dalam sebuah pernyataan Jumat bahwa eksploitasi terbaru memengaruhi BSC Token Hub — jembatan lintas rantai asli antara BNB Beacon Chain dan BNB Smart Chain.

Unit analitik Blockchain Analisis rantai diperkirakan pada bulan Agustus bahwa crypto senilai $ 2 miliar telah dicuri di 13 peretasan jembatan lintas rantai. Serangan di jembatan menyumbang 69% dari total dana yang dicuri tahun ini, kata perusahaan itu pada saat itu.

“Rantai terdesentralisasi tidak dirancang untuk dihentikan, tetapi dengan menghubungi validator komunitas satu per satu, kami dapat menghentikan penyebaran insiden itu,” kata BNB Chain dalam sebuah pernyataan Jumat.

BNB Smart Chain memiliki 26 validator aktif dan total 44, jaringan tersebut menyatakan, menambahkan bahwa mereka berusaha untuk memperluas validator untuk meningkatkan desentralisasi lebih lanjut.

Meskipun BNB Chain melaporkan "sebagian besar dana tetap terkendali," seorang juru bicara tidak segera membalas permintaan komentar lebih lanjut. 

Peretasan terbaru kemungkinan akan memacu operator untuk mengatasi kurangnya respons otomatis terhadap insiden keamanan di ruang crypto, kata Lewellen kepada Blockworks. 

Didirikan pada tahun 2015, OpenZeppelin memiliki platform yang memungkinkan pengguna untuk mengelola administrasi kontrak cerdas, seperti kontrol akses, peningkatan, dan jeda. Perusahaan mengamankan dana puluhan miliar dolar untuk organisasi seperti Coinbase dan Ethereum Foundation.

Teruslah membaca untuk kutipan dari wawancara Blockworks dengan Lewellen setelah peretasan.

Blokir: Apa pendapat Anda tentang peretasan terbaru di Rantai BNB ini?

Lewellen: Ini sebenarnya agak aneh, karena ini adalah bug yang ada dalam kontrak pintar yang telah dikompilasi sebelumnya.

Dengan Binance Chain, mereka hanya menambahkan banyak fitur ke dalam protokol asli untuk mendukung kontrak pintar, dan di situlah bug akhirnya masuk. Jadi saya pikir perlu ada pertanyaan apakah perubahan semacam ini harus dilakukan protokol asli. Mungkin itu harus terkandung dalam kontrak pintar dan disimpan di luar ruang lingkup protokol karena hal-hal ini berisiko.

Kami tidak tahu bagaimana bug muncul di dalam protokol atau sumber aslinya. Tetapi di mana kode berada — dan tingkat keamanan potongan kode bergantung pada lapisan mana mereka berada — harus lebih baik.

Rantai dan jembatan pembuktian otoritas semacam ini memperumitnya. Ini bukan lagi hierarki yang jelas. Sekarang ada banyak lapisan berbeda yang terjadi secara paralel sehingga orang perlu lebih sadar.   

Blokir: Bagaimana tanggapan terhadap peretasan ini bisa lebih baik?

Lewellen: Sementara saya pikir mereka merespon dengan baik secara keseluruhan di sini, ada pertanyaan yang lebih besar dari ... apakah ini benar-benar yang terbaik yang bisa dilakukan jika peran itu dianut.

Saya tidak dapat berbicara dengan apa yang dilakukan komunitas validator Binance Chain atau bagaimana mereka berkoordinasi atau berlatih untuk hal-hal semacam ini…tetapi mereka jelas telah mempraktikkannya sekali sekarang.

Saya berbicara sebagai seseorang dari luar, tetapi melihat proyek DeFi lain menanggapi ini sebagai klien mereka, saya pikir mungkin ada lebih banyak ketekunan dan merangkul peran seseorang yang memiliki kemampuan untuk menanggapi insiden keamanan. 

Dan jika mereka tidak memiliki peran, mereka hanya perlu sangat terbuka dengan itu. Apakah ada keraguan untuk menggunakannya dalam beberapa kasus dan mungkin tidak dalam kasus lain, saat ini jelas ada dan saya pikir itu bisa dilakukan lebih baik di masa depan jika kita belajar banyak dari ini.   

Blokir: Bisakah Anda menunjukkan contoh respons instan otomatis yang efektif terhadap peretasan?

Lewellen: Kami masih dalam tahap awal. Saya pikir kita melihat tim yang semakin baik dalam mendeteksi sesuatu dan merespons, tetapi saya pikir sejujurnya peretasan ini telah terjadi di jembatan yang menurut saya belum mencakup tingkat uji tuntas yang sama.

Saya tidak berpikir kita telah melihat kasus yang baik untuk itu. Kami tahu itu mungkin, kami telah melakukan simulasi di OpenZeppelin untuk mengetahui kelayakannya, dan kami telah membangun alat untuk mengatasinya. Tapi ironisnya saya pikir tim yang paling siap untuk itu mungkin adalah tim yang paling tidak rentan untuk diretas.

Orang-orang yang paling sering diretas juga adalah orang-orang yang menurut saya paling tidak siap untuk diretas.

Blokir: Alat atau praktik macam apa yang harus digunakan untuk mempertahankan diri dari peretasan dengan cepat?  

Lewellen: Apa yang benar-benar dibutuhkan [operator] adalah sesuatu yang memberi Anda pemberitahuan segera, atau pada dasarnya sesuatu yang mengawasi semuanya secara on-chain...menganalisisnya dan kemudian menentukan, “apakah ada risiko yang terpapar di sini?”

Jika sejumlah besar dana dipindahkan, itu mungkin baik-baik saja dan bagian dari operasi sehari-hari, tetapi jika itu keluar dari norma…[penting untuk memiliki] pemberitahuan segera tentang itu.

Jika Anda dapat melangkah lebih jauh dan mendeteksi hal-hal yang seharusnya tidak pernah terjadi, seperti uang yang keluar dari brankas yang seharusnya dikunci atau lebih banyak token daripada yang seharusnya ada dalam persediaan token yang ada… Anda tahu sesuatu sedang terjadi. Jika tidak membuat orang-orang segera siap untuk merespons, mungkin bahkan mengotomatiskan beberapa cara yang mungkin Anda lakukan dengan segera mengurangi beberapa jalur keluar…atau membuat validator Anda siap untuk merespons dan bahkan mungkin melakukan latihan dengan mereka.

Blokir: Apa kunci bagi operator saat mereka berupaya mengatasi risiko keamanan ke depan? 

Lewellen: Saya pikir ini akan menjadi sedikit lebih jujur ​​dengan peran operator dan protokol yang berbeda dan apa kekuatan administratifnya. 

Dengan blockchain Ethereum, cara Binance Chain merespons tidak akan mungkin terjadi untuk Ethereum, tetapi Ethereum juga menciptakan harapan bahwa rantai tersebut tidak akan masuk dan menyelamatkan Anda.

Jika Anda akan memiliki pendekatan semacam itu di mana Anda memiliki jaringan di mana orang dapat merespons, baik merangkul atau menjauh darinya. Baik terdesentralisasi sepenuhnya, atau cukup terpusat untuk memiliki tanggung jawab untuk menanggapi insiden keamanan. Rangkullah peran tersebut sepenuhnya dengan mencoba mempersiapkan diri sebaik mungkin dan memberi tahu operator node untuk jaringan Anda bahwa ini akan menjadi tanggung jawab mereka.

Wawancara ini telah diedit untuk kejelasan dan singkatnya.

Menghadiri DAS: LONDON dan dengarkan bagaimana institusi TradFi dan kripto terbesar melihat masa depan adopsi institusional kripto. Daftar sini.