Dopo BNB Chain Hack, gli operatori devono affrontare la questione del decentramento

A seguire attaccanti sfruttando la catena BNB di Binance e ritirando 2 milioni di BNB, l'industria delle criptovalute è ora alle prese con questioni di decentramento, risposte a incidenti di sicurezza e prevalenza di hack.

Gli operatori e i protocolli nello spazio devono scegliere di diventare completamente decentralizzati o essere meglio preparati a rispondere agli hack, ha affermato Michael Lewellen, responsabile dell'architettura delle soluzioni presso l'azienda di sicurezza blockchain OpenZeppelin.

ha detto BNB Chain in una dichiarazione venerdì che l'ultimo exploit ha interessato BSC Token Hub, il ponte cross-chain nativo tra BNB Beacon Chain e BNB Smart Chain.

Unità di analisi blockchain Analisi della catena stimata ad agosto che $ 2 miliardi di criptovalute erano stati rubati attraverso 13 hack di bridge cross-chain. Gli attacchi ai ponti hanno rappresentato il 69% dei fondi totali rubati quest'anno, ha affermato la società in quel momento.

"Le catene decentralizzate non sono progettate per essere fermate, ma contattando i validatori della comunità uno per uno, siamo stati in grado di impedire la diffusione dell'incidente", ha affermato BNB Chain in una dichiarazione venerdì.

BNB Smart Chain ha 26 validatori attivi e 44 in totale, ha affermato la rete, aggiungendo che cerca di espandere i validatori per aumentare ulteriore decentramento.

Sebbene BNB Chain abbia riferito che "la stragrande maggioranza dei fondi rimane sotto controllo", un portavoce non ha immediatamente restituito una richiesta di ulteriori commenti. 

È probabile che l'ultimo hack spronerà gli operatori ad affrontare la mancanza di risposta automatizzata agli incidenti di sicurezza nello spazio crittografico, ha detto Lewellen a Blockworks. 

Fondato nel 2015, OpenZeppelin dispone di una piattaforma che consente agli utenti di gestire l'amministrazione dei contratti intelligenti, come i controlli degli accessi, gli aggiornamenti e le pause. L'azienda salva decine di miliardi di dollari in fondi per organizzazioni come Coinbase e Ethereum Foundation.

Continua a leggere per gli estratti dell'intervista di Blockworks con Lewellen dopo l'hacking.

Blocchi: Cosa ne pensi di questo ultimo hack sulla catena BNB?

Lewellen: Questo è in realtà un po' strano, poiché si tratta di un bug che era in uno smart contract precompilato.

Con Binance Chain, stavano semplicemente aggiungendo molte funzionalità al protocollo nativo per supportare i contratti intelligenti, ed è qui che è arrivato il bug. Quindi penso che ci sia da chiedersi se questo tipo di modifiche dovrebbe essere in un protocollo nativo. Forse dovrebbe essere contenuto all'interno di uno smart contract e tenuto fuori dall'ambito del protocollo perché queste cose sono rischiose.

Non sappiamo come sia apparso il bug all'interno del protocollo o la sua fonte originale. Ma dove si trova il codice - e il livello di sicurezza dei pezzi di codice dipende dal livello in cui si trovano - deve essere migliore.

Queste catene e ponti di prova dell'autorità lo complicano in qualche modo. Non è più una chiara gerarchia. Ora ci sono molti livelli diversi che accadono in parallelo di cui le persone devono essere molto più consapevoli.   

Blocchi: Come avrebbe potuto essere migliore la risposta a questo hack?

Lewellen: Anche se penso che nel complesso abbiano risposto bene qui, c'è una domanda più ampia di... è stato davvero il meglio che si sarebbe potuto fare se quel ruolo fosse stato accolto.

Non posso parlare di ciò che fa la comunità dei validatori di Binance Chain o di come si coordinano o si esercitano per questo genere di cose... ma ovviamente l'hanno praticato una volta.

Parlo come qualcuno dall'esterno, ma vedendo altri progetti DeFi rispondere a questo come i loro clienti, penso che potrebbe esserci molta più diligenza e abbracciare il ruolo di qualcuno che ha la capacità di rispondere agli incidenti di sicurezza. 

E se non hanno il ruolo, devono solo essere molto in anticipo con quello. Che ci sia una riluttanza a utilizzarlo in alcuni casi e forse no in altri, in questo momento ovviamente esiste e penso che potrebbe essere fatto meglio in futuro se impariamo molto da questo.   

Blocchi: Puoi indicare qualche esempio di un'efficace risposta istantanea automatizzata a un hack?

Lewellen: Siamo ancora alle prime fasi. Penso che stiamo vedendo team che stanno migliorando nel rilevare le cose e nel rispondere, ma penso onestamente che questi hack si siano verificati su ponti che non credo abbiano abbracciato lo stesso livello di due diligence.

Non credo che abbiamo visto un buon caso per questo. Sappiamo che è possibile, abbiamo fatto le simulazioni a OpenZeppelin per sapere che è fattibile e abbiamo creato strumenti per affrontarlo. Ma ironicamente penso che le squadre meglio preparate per questo potrebbero essere le squadre meno suscettibili ad essere hackerate in primo luogo.

Le persone che vengono hackerate di più sono anche quelle che penso siano le meno preparate ad essere hackerate.

Blocchi: Che tipo di strumenti o pratiche dovrebbero essere utilizzati per difendersi rapidamente dagli hack?  

Lewellen: Ciò di cui gli [operatori] hanno veramente bisogno è qualcosa che ti dia una notifica immediata, o fondamentalmente qualcosa che sta guardando tutto sulla catena... analizzandolo e poi determinando "sono stati esposti dei rischi qui?"

Se vengono spostate grandi quantità di fondi, probabilmente va bene e fa parte delle operazioni quotidiane, ma se non rientra nella norma... [è importante avere] notifica immediata di ciò.

Se puoi andare oltre e rilevare cose che non dovrebbero mai accadere, come denaro che esce da un caveau che dovrebbe essere chiuso a chiave o più token di quelli che dovrebbero essere nella riserva di token esistente ... sai che sta succedendo qualcosa. Se non convincere le persone immediatamente disponibili a rispondere, magari anche automatizzando alcuni dei modi in cui potresti ridurre immediatamente alcune rampe di uscita... o preparare i tuoi validatori a rispondere e magari anche fare esercitazioni con loro.

Blocchi: Qual è la chiave per gli operatori che cercano di affrontare i rischi per la sicurezza in futuro? 

Lewellen: Penso che diventerà un po' più onesto con il ruolo dei diversi operatori e protocolli e quali sono i poteri amministrativi. 

Con la blockchain di Ethereum, il modo in cui Binance Chain ha risposto non sarebbe stato possibile per Ethereum, ma Ethereum crea anche questa aspettativa che la catena non interverrà e ti salverà.

Se hai quel tipo di approccio in cui hai una rete in cui le persone possono rispondere, abbraccialo o allontanati da esso. O essere completamente decentralizzato o essere abbastanza centralizzato da avere la responsabilità di rispondere agli incidenti di sicurezza. Abbraccia pienamente il ruolo cercando di essere il più preparato possibile e dicendo agli operatori dei nodi per la tua rete che questa sarà una loro responsabilità.

Questa intervista è stata curata per chiarezza e brevità.

Partecipare DAS: LONDRA e ascolta come le più grandi istituzioni TradFi e criptovalute vedono il futuro dell'adozione istituzionale delle criptovalute. Registrati