• רשת BNB יצרה קשר עם מאמתי הקהילה כדי למנוע את התפשטות האירוע
  • "או להיות מבוזר לחלוטין, או להיות מרוכז מספיק כדי לקבל אחריות לתגובה לאירועי אבטחה", אומר מנהל ארכיטקטורת הפתרונות של OpenZeppelin

עוקב אחר תוקפים ניצול שרשרת BNB של Binance ומשיכת 2 מיליון BNB, תעשיית הקריפטו מתמודדת כעת עם שאלות של ביזור, תגובות לאירועי אבטחה ושכיחות של פריצות.

המפעילים והפרוטוקולים במרחב חייבים לבחור להיות מבוזרים לחלוטין או להיות מוכנים יותר להגיב לפריצות, אמר מייקל לוולן, ראש ארכיטקטורת פתרונות בחברת אבטחת בלוקצ'יין פתח את זפלין.

כך אמרה רשת BNB בהצהרה ביום שישי שהניצול האחרון השפיע על BSC Token Hub - הגשר המוצלב בין שרשרת BNB Beacon ל-BNB Smart Chain.

יחידת ניתוח בלוקצ'יין ניתוח שרשרת מוערך באוגוסט שקריפטו בשווי 2 מיליארד דולר נגנבו על פני 13 פריצות לגשר צולבות. התקפות על גשרים היוו 69% מסך הכספים שנגנבו השנה, אמרה החברה אז.

"רשתות מבוזרות אינן מיועדות לעצירה, אבל על ידי פנייה למאמתי הקהילה בזה אחר זה, הצלחנו לעצור את התפשטות התקרית", אמרה רשת BNB בהצהרה ביום שישי.

ל-BNB Smart Chain יש 26 מאמתים פעילים ו-44 בסך הכל, הודיעה הרשת, והוסיפה כי היא מבקשת להרחיב את המאמתים כדי להגביר. ביזור נוסף.

למרות שרשת BNB דיווחה כי "הרוב המכריע של הקרנות נותרות בשליטה", דובר לא החזיר מיד בקשה להערה נוספת. 

הפריצה האחרונה עשויה לדרבן מפעילים לטפל בחוסר התגובה האוטומטית לאירועי אבטחה בחלל הקריפטו, אמר לוולן ל-Blockworks. 

ל-OpenZeppelin, שנוסדה ב-2015, יש פלטפורמה המאפשרת למשתמשים לנהל ניהול חוזים חכם, כגון בקרות גישה, שדרוגים והשהייה. החברה שומרת על כספים של עשרות מיליארדי דולרים עבור ארגונים כמו Coinbase וקרן Ethereum.

המשיכו לקרוא לקטעים מהראיון של Blockworks עם Lewellen בעקבות הפריצה.

Blockworks: מה דעתך על הפריצה האחרונה הזו ברשת BNB?

לוולן: זה למעשה די מוזר, מכיוון שמדובר בבאג שהיה בחוזה חכם שהוקם מראש.

עם Binance Chain, הם פשוט הוסיפו הרבה תכונות לפרוטוקול המקורי כדי לתמוך בחוזים חכמים, וכאן הגיע בסוף הבאג. אז אני חושב שצריכה להיות שאלה אם סוג השינויים האלה צריכים להיות ב- פרוטוקול מקומי. אולי זה צריך להיות כלול בתוך חוזה חכם ולשמור מחוץ לתחום הפרוטוקול כי הדברים האלה מסוכנים.

אנחנו לא יודעים איך הבאג הופיע בתוך הפרוטוקול או המקור המקורי שלו. אבל איפה הקוד נמצא - ורמת הבטיחות של חלקי הקוד תלויה באיזו שכבה הם נמצאים - צריך להיות טוב יותר.

השרשראות והגשרים של הוכחת הסמכות די מסבכים את זה. זו כבר לא היררכיה ברורה. יש עכשיו הרבה רבדים שונים שקורים במקביל שאנשים צריכים להיות הרבה יותר מודעים אליהם.   

Blockworks: איך התגובה לפריצה הזו הייתה טובה יותר?

לוולן: למרות שאני חושב שהם הגיבו טוב בסך הכל כאן, יש שאלה גדולה יותר של... האם זה באמת הכי טוב שאפשר לעשות אם התפקיד הזה היה מאומץ.

אני לא יכול לדבר על מה שעושה קהילת המאמתים של שרשרת Binance או איך הם מתאמים או מתרגלים דברים מהסוג הזה... אבל ברור שהם תרגלו את זה פעם עכשיו.

אני מדבר בתור מישהו מבחוץ, אבל כשאני רואה פרויקטים אחרים של DeFi מגיבים לזה כלקוח שלהם, אני חושב שיכולה להיות הרבה יותר חריצות ואימוץ תפקיד של מישהו שיש לו את היכולת להגיב לאירועי אבטחה. 

ואם אין להם את התפקיד, הם פשוט צריכים להיות מאוד מקדימים עם זה. בין אם יש היסוס להשתמש בו במקרים מסוימים ואולי לא באחרים, כרגע ברור שזה קיים ואני חושב שאפשר לעשות את זה טוב יותר בעתיד אם נלמד מזה הרבה.   

Blockworks: האם תוכל להצביע על דוגמאות כלשהן לתגובה מיידית אוטומטית יעילה לפריצה?

לוולן: אנחנו עדיין בשלבים הראשונים. אני חושב שאנחנו רואים צוותים שהולכים ומשתפרים בזיהוי דברים ומגיבים, אבל אני חושב שבכנות הפריצות האלה התרחשו על גשרים שלדעתי לא אימצו את אותה רמה של בדיקת נאותות.

אני לא חושב שראינו מקרה טוב לזה. אנחנו יודעים שזה אפשרי, עשינו את הסימולציות ב-OpenZeppelin כדי לדעת שזה אפשרי, ובנינו כלים לטפל בזה. אבל למרבה האירוניה, אני חושב שהקבוצות הכי מוכנות לכך עשויות להיות הקבוצות שהכי פחות רגישות לפריצה מלכתחילה.

האנשים שנפרצים הכי הרבה הם גם אלה שלדעתי הכי פחות מוכנים לפריצה.

Blockworks: באילו סוגים של כלים או שיטות יש להשתמש כדי להתגונן במהירות מפני פריצות?  

לוולן: מה ש[מפעילים] באמת צריכים זה משהו שנותן לך הודעה מיידית, או בעצם משהו שצופה בכל מה שרשרת... מנתח אותו ואז קובע, "האם נחשפו כאן סיכונים?"

אם כמויות גדולות של כספים מועברים, זה כנראה בסדר וזה חלק מהפעילות השוטפת, אבל אם זה יוצא מהנורמה...[חשוב לקבל] הודעה מיידית על כך.

אם אתה יכול ללכת רחוק יותר ולזהות דברים שלעולם לא אמורים להתרחש, כמו כסף שעובר מתוך כספת שאמורה להיות נעולה או יותר אסימונים ממה שאמור להיות במלאי האסימון הקיים... אתה יודע שמשהו קורה. אם לא לגרום לאנשים להגיב מיידית, אולי אפילו להפוך כמה מהדרכים שבהן תוכל להפחית מיד חלק מרמפות היציאה... או לגרום למאמתים שלך להיות מוכנים להגיב ואולי אפילו לעשות איתם תרגילים.

Blockworks: מהו המפתח למפעילים כאשר הם מבקשים לטפל בסיכוני אבטחה בעתיד? 

לוולן: אני חושב שזה הולך להיות קצת יותר כנה עם התפקיד של מפעילים ופרוטוקולים שונים ומהן הסמכויות המנהליות. 

עם ה-Ethereum blockchain, הדרך שבה Binance Chain הגיבה לא הייתה אפשרית עבור Ethereum, אבל Ethereum גם יוצרת את הציפייה הזו שהרשת לא תתערב ותציל אותך.

אם אתה מתכוון לגישה כזו שבה יש לך רשת שבה אנשים יכולים להגיב, או שתאמץ אותה או תתרחק ממנה. או להיות מבוזר לחלוטין, או להיות ריכוזי מספיק כדי לקבל אחריות לתגובה לאירועי אבטחה. אמצו את התפקיד במלואו על ידי ניסיון להיות מוכן ככל האפשר ולומר למפעילי הצמתים עבור הרשת שלכם שזו תהיה אחריותם.

ראיון זה נערך לצורך הבהרות וקצרות.

השתתף DAS: לונדון ושמע כיצד המוסדות הגדולים ביותר של TradFi וקריפטו רואים את עתיד האימוץ המוסדי של קריפטו. הירשם כאן.

  • לאחר פריצת שרשרת BNB, המפעילים צריכים להתמודד עם שאלה של ביזור מידע PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.
    בן סטראק

    בן סטראק הוא כתב מדנבר המכסה קרנות מאקרו וקרנות מקוריות, יועצים פיננסיים, מוצרים מובנים ושילוב של נכסים דיגיטליים ומימון מבוזר (DeFi) בפיננסים מסורתיים. לפני שהצטרף לבלוקוורקס, הוא סיקר את תעשיית ניהול הנכסים עבור Fund Intelligence והיה כתב ועורך בעיתונים מקומיים שונים בלונג איילנד. הוא סיים את לימודיו באוניברסיטת מרילנד עם תואר בעיתונאות.

    צור קשר עם בן באמצעות דוא"ל בכתובת [מוגן בדוא"ל]