Etter BNB Chain Hack, må operatører møte spørsmål om desentralisering

Følger angripere utnytter Binances BNB-kjede og trekker ut 2 millioner BNB, kjemper kryptoindustrien nå med spørsmål om desentralisering, svar på sikkerhetshendelser og utbredelsen av hacks.

Operatører og protokoller i rommet må velge å bli fullstendig desentralisert eller være bedre forberedt på å svare på hacks, sa Michael Lewellen, leder for løsningsarkitektur hos blockchain-sikkerhetsfirmaet Åpne Zeppelin.

BNB Chain sa i en uttalelse fredag at den siste utnyttelsen påvirket BSC Token Hub - den opprinnelige krysskjedebroen mellom BNB Beacon Chain og BNB Smart Chain.

Blockchain-analyseenhet Kjedeanalyse beregnet i august at krypto verdt 2 milliarder dollar hadde blitt stjålet på tvers av 13 brohakk på tvers av kjeder. Angrep på broer utgjorde 69% av totale midler som ble stjålet i år, sa selskapet den gang.

"Desentraliserte kjeder er ikke designet for å bli stoppet, men ved å kontakte fellesskapsvalidatorer en etter en, klarte vi å stoppe hendelsen fra å spre seg," sa BNB Chain i en uttalelse fredag.

BNB Smart Chain har 26 aktive validatorer og 44 totalt, opplyste nettverket, og la til at det søker å utvide validatorene for å øke ytterligere desentralisering.

Selv om BNB Chain rapporterte at "det store flertallet av midlene forblir under kontroll", returnerte ikke en talsperson umiddelbart en forespørsel om ytterligere kommentarer. 

Det siste hacket vil sannsynligvis anspore operatører til å adressere mangelen på automatisert respons på sikkerhetshendelser i kryptorommet, sa Lewellen til Blockworks. 

OpenZeppelin ble grunnlagt i 2015 og har en plattform som lar brukere administrere smart kontraktsadministrasjon, som tilgangskontroller, oppgraderinger og pause. Selskapet sikrer titalls milliarder dollar i midler for organisasjoner som Coinbase og Ethereum Foundation.

Fortsett å lese for utdrag fra Blockworks intervju med Lewellen etter hacket.

Blokkverk: Hva synes du om dette siste hacket på BNB-kjeden?

Lewellen: Dette er faktisk litt rart, siden dette er en feil som var i en forhåndskompilert smart kontrakt.

Med Binance Chain la de bare til mange funksjoner i den opprinnelige protokollen for å støtte smarte kontrakter, og det var der feilen endte opp med å komme inn. Så jeg tror det må være et spørsmål om denne typen endringer bør være i en innfødt protokoll. Kanskje den burde være inneholdt i en smart kontrakt og holdes utenfor protokollens omfang fordi disse tingene er risikable.

Vi vet ikke hvordan feilen dukket opp inne i protokollen eller dens opprinnelige kilde. Men hvor koden er - og nivået på sikkerhetskodene har avhengig av hvilket lag de er i - må bli bedre.

Disse autoritetsbeviskjedene og -broene kompliserer det på en måte. Det er ikke lenger et klart hierarki. Det skjer nå mange forskjellige lag parallelt som folk må være mye mer bevisste på.   

Blokkverk: Hvordan kunne responsen på dette hacket vært bedre?

Lewellen: Selv om jeg synes de reagerte bra generelt her, er det et større spørsmål om ... var dette virkelig det beste som kunne gjøres hvis den rollen ble omfavnet.

Jeg kan ikke snakke med hva Binance Chain-validatorfellesskapet gjør eller hvordan de koordinerer eller øver på slike ting ... men de har tydeligvis praktisert det en gang nå.

Jeg snakker som en fra utsiden, men når jeg ser andre DeFi-prosjekter reagere på dette som deres klient, tror jeg det kan være mye mer flid og omfavne rollen som noen som har evnen til å reagere på sikkerhetshendelser. 

Og hvis de ikke har rollen, må de bare være veldig på forhånd med det. Enten det er nøling med å bruke det i noen tilfeller og kanskje ikke i andre, akkurat nå eksisterer det åpenbart, og jeg tror det kan gjøres bedre i fremtiden hvis vi lærer mye av dette.   

Blokkverk: Kan du peke på noen eksempler på en effektiv automatisert øyeblikkelig respons på et hack?

Lewellen: Vi er fortsatt i startfasen. Jeg tror vi ser team som blir bedre til å oppdage ting og svare, men jeg tror ærlig talt at disse hackene har skjedd på broer som jeg ikke tror har omfavnet det samme nivået av due diligence.

Jeg tror ikke vi har sett noen god sak for det. Vi vet at det er mulig, vi har gjort simuleringene hos OpenZeppelin for å vite at det er mulig, og vi har bygget verktøy for å løse det. Men ironisk nok tror jeg lagene best forberedt på det kan være lagene som er minst utsatt for å bli hacket i utgangspunktet.

De som blir hacket mest er også de som jeg tror er minst forberedt på å bli hacket.

Blokkverk: Hva slags verktøy eller praksis bør brukes for raskt å forsvare seg mot hacks?  

Lewellen: Det [operatører] virkelig trenger er noe som gir deg umiddelbar varsling, eller i bunn og grunn noe som ser på alt på kjeden ... analysere det og deretter fastslå, "var det noen risikoer utsatt her?"

Hvis store mengder midler blir flyttet, er det sannsynligvis greit og en del av den daglige driften, men hvis det faller utenfor normen … [er det viktig å ha] umiddelbar varsel om det.

Hvis du kan gå lenger og oppdage ting som aldri burde skje, for eksempel penger som flytter ut av et hvelv som skal være låst eller flere tokens enn det som burde være i tokenforsyningen som eksisterer ... vet du at noe skjer. Hvis du ikke får folk til å svare umiddelbart, kanskje til og med automatisere noen av måtene du umiddelbart kan kutte ned noen av avkjøringsrampene på ... eller få validatorene til å være klare til å svare og kanskje til og med gjøre øvelser med dem.

Blokkverk: Hva er nøkkelen for operatører når de prøver å håndtere sikkerhetsrisikoer fremover? 

Lewellen: Jeg tror det kommer til å bli litt mer ærlig med rollen til forskjellige operatører og protokoller og hva de administrative fullmakter er. 

Med Ethereum blockchain ville måten Binance Chain svarte ikke vært mulig for Ethereum, men Ethereum skaper også denne forventningen om at kjeden ikke kommer til å gå inn og redde deg.

Hvis du skal ha den typen tilnærming der du har et nettverk der folk kan svare, enten omfavne det eller gå bort fra det. Enten være helt desentralisert, eller være sentralisert nok til å ha ansvar for å reagere på sikkerhetshendelser. Omfavn rollen fullt ut ved å prøve å være så forberedt som mulig og fortelle nodeoperatører for nettverket ditt at dette vil være deres ansvar.

Dette intervjuet er redigert for klarhet og korthet.

venter DAS: LONDON og hør hvordan de største TradFi- og kryptoinstitusjonene ser på fremtiden for kryptos institusjonelle adopsjon. Registrere her.