Na BNB Chain Hack moeten operators worden geconfronteerd met vragen over decentralisatie

Aanvallers volgen exploiteren van de BNB-keten van Binance en met het terugtrekken van 2 miljoen BNB, worstelt de crypto-industrie nu met vragen over decentralisatie, reacties op beveiligingsincidenten en de prevalentie van hacks.

Operators en protocollen in de ruimte moeten ervoor kiezen om volledig gedecentraliseerd te worden of beter voorbereid te zijn om te reageren op hacks, zei Michael Lewellen, hoofd oplossingsarchitectuur bij blockchain-beveiligingsbedrijf de openzeppel.

BNB Chain zei: in een verklaring vrijdag dat de nieuwste exploit van invloed was op BSC Token Hub - de native cross-chain-brug tussen BNB Beacon Chain en BNB Smart Chain.

Blockchain-analyse-eenheid Ketenanalyse geschat in augustus dat $ 2 miljard aan crypto was gestolen via 13 cross-chain bridge-hacks. Aanvallen op bruggen waren goed voor 69% van de totale fondsen die dit jaar werden gestolen, zei het bedrijf destijds.

"Gedecentraliseerde ketens zijn niet ontworpen om te worden gestopt, maar door één voor één contact op te nemen met community-validators, konden we voorkomen dat het incident zich verspreidde", zei BNB Chain vrijdag in een verklaring.

BNB Smart Chain heeft 26 actieve validators en 44 in totaal, verklaarde het netwerk, eraan toevoegend dat het de validators wil uitbreiden om een ​​boost te geven verdere decentralisatie.

Hoewel BNB Chain meldde dat "de overgrote meerderheid van de fondsen onder controle blijft", heeft een woordvoerder niet onmiddellijk een verzoek om verder commentaar teruggestuurd. 

De nieuwste hack zal operators waarschijnlijk aansporen om het gebrek aan geautomatiseerde reactie op beveiligingsincidenten in de crypto-ruimte aan te pakken, vertelde Lewellen aan Blockworks. 

OpenZeppelin, opgericht in 2015, heeft een platform waarmee gebruikers slimme contractadministratie kunnen beheren, zoals toegangscontrole, upgrades en pauzeren. Het bedrijf stelt tientallen miljarden dollars aan fondsen veilig voor organisaties als Coinbase en de Ethereum Foundation.

Blijf lezen voor fragmenten uit Blockworks' interview met Lewellen na de hack.

Blokkades: Wat vind je van deze nieuwste hack op de BNB Chain?

Lewellen: Dit is eigenlijk een beetje raar, omdat dit een bug is die in een vooraf gecompileerd slim contract zat.

Met Binance Chain voegden ze gewoon veel functies toe aan het native protocol om slimme contracten te ondersteunen, en daar kwam de bug terecht. Dus ik denk dat er een vraag moet zijn of dit soort wijzigingen in een eigen protocol. Misschien moet het worden opgenomen in een slim contract en buiten de reikwijdte van het protocol worden gehouden, omdat deze dingen riskant zijn.

We weten niet hoe de bug in het protocol of de oorspronkelijke bron is verschenen. Maar waar de code is - en het niveau van de veiligheidscodes, afhankelijk van de laag waarin ze zich bevinden - moet beter zijn.

Deze proof-of-authority ketens en bruggen maken dat nogal ingewikkeld. Het is niet langer een duidelijke hiërarchie. Er gebeuren nu veel verschillende lagen parallel waar mensen zich veel meer bewust van moeten zijn.   

Blokkades: Hoe had de reactie op deze hack beter kunnen zijn?

Lewellen: Hoewel ik denk dat ze hier over het algemeen goed reageerden, is er een grotere vraag of ... was dit echt het beste dat kon worden gedaan als die rol werd omarmd.

Ik kan niet spreken met wat de Binance Chain-validatorgemeenschap doet of hoe ze dit soort dingen coördineren of oefenen ... maar ze hebben het nu duidelijk een keer geoefend.

Ik spreek als iemand van buitenaf, maar als ik zie dat andere DeFi-projecten hierop reageren als hun klant, denk ik dat er veel meer toewijding zou kunnen zijn en de rol van iemand omarmen die de mogelijkheid heeft om te reageren op beveiligingsincidenten. 

En als ze de rol niet hebben, moeten ze daar gewoon heel duidelijk in zijn. Of er nu aarzeling is om het in sommige gevallen te gebruiken en misschien niet in andere, op dit moment bestaat het duidelijk en ik denk dat het in de toekomst beter zou kunnen als we hier veel van leren.   

Blokkades: Kunt u voorbeelden noemen van een effectieve automatische onmiddellijke reactie op een hack?

Lewellen: We zitten nog in de beginfase. Ik denk dat we teams zien die steeds beter worden in het detecteren van dingen en reageren, maar ik denk eerlijk gezegd dat deze hacks hebben plaatsgevonden op bruggen waarvan ik denk dat ze niet hetzelfde niveau van due diligence hebben omarmd.

Ik denk niet dat we daar een goede zaak voor hebben gezien. We weten dat het mogelijk is, we hebben de simulaties bij OpenZeppelin gedaan om te weten of het haalbaar is, en we hebben tools ontwikkeld om het aan te pakken. Maar ironisch genoeg denk ik dat de teams die daar het best op zijn voorbereid, de teams zijn die in de eerste plaats het minst vatbaar zijn om te worden gehackt.

De mensen die het meest worden gehackt, zijn ook degenen die volgens mij het minst bereid zijn om gehackt te worden.

Blokkades: Wat voor soort tools of praktijken moeten worden gebruikt om snel te verdedigen tegen hacks?  

Lewellen: Wat [operators] echt nodig hebben, is iets dat u onmiddellijk op de hoogte stelt, of eigenlijk iets dat alles in de keten in de gaten houdt ... het analyseert en vervolgens bepaalt: "werden hier risico's blootgesteld?"

Als er grote hoeveelheden geld worden verplaatst, is dat waarschijnlijk prima en maakt het deel uit van de dagelijkse activiteiten, maar als het buiten de norm valt... [het is belangrijk om] daar onmiddellijk van op de hoogte te worden gebracht.

Als je verder kunt gaan en dingen kunt detecteren die nooit zouden mogen gebeuren, zoals geld dat uit een kluis komt die vergrendeld moet worden of meer tokens dan wat er in de bestaande tokenvoorraad zou moeten zitten, dan weet je dat er iets aan de hand is. Als u mensen niet onmiddellijk oproept om te reageren, misschien zelfs door enkele van de manieren te automatiseren waarop u enkele van de afritten onmiddellijk zou kunnen verminderen ... of om uw validators klaar te maken om te reageren en misschien zelfs oefeningen met hen te doen.

Blokkades: Wat is de sleutel voor operators bij het aanpakken van beveiligingsrisico's in de toekomst? 

Lewellen: Ik denk dat het een beetje eerlijker gaat worden met de rol van verschillende operators en protocollen en wat de administratieve bevoegdheden zijn. 

Met de Ethereum-blockchain zou de manier waarop Binance Chain reageerde niet mogelijk zijn geweest voor Ethereum, maar Ethereum wekt ook de verwachting dat de keten niet zal ingrijpen en je zal redden.

Als je zo'n aanpak hebt waarbij je een netwerk hebt waar mensen kunnen reageren, omarm het dan of ga er vanaf. Ofwel volledig gedecentraliseerd zijn, ofwel voldoende gecentraliseerd om verantwoordelijk te zijn voor het reageren op beveiligingsincidenten. Omarm de rol volledig door te proberen zo goed mogelijk voorbereid te zijn en knooppuntoperators voor uw netwerk te vertellen dat dit hun verantwoordelijkheid is.

Dit interview is voor de duidelijkheid en beknoptheid bewerkt.

Bijwonen DAS:LONDEN en hoor hoe de grootste TradFi- en crypto-instellingen de toekomst zien van de institutionele acceptatie van crypto. Register hier.