Po hakowaniu łańcucha BNB operatorzy muszą zmierzyć się z kwestią decentralizacji

Śledzenie napastników wykorzystanie łańcucha BNB Binance i wycofując 2 miliony BNB, branża kryptograficzna zmaga się teraz z kwestiami decentralizacji, odpowiedziami na incydenty bezpieczeństwa i rozpowszechnieniem włamań.

Operatorzy i protokoły w kosmosie muszą zdecydować się na pełną decentralizację lub być lepiej przygotowanym do reagowania na włamania, powiedział Michael Lewellen, szef architektury rozwiązań w firmie zajmującej się bezpieczeństwem blockchain. Otwórz Zeppelina.

Powiedział łańcuch BNB w oświadczeniu piątek że najnowszy exploit wpłynął na BSC Token Hub — natywny mostek między łańcuchami BNB Beacon Chain i BNB Smart Chain.

Jednostka analityczna Blockchain Analiza łańcuchowa szacowana w sierpniu że krypto o wartości 2 miliardów dolarów zostało skradzione podczas 13 włamań do mostu krzyżowego. Ataki na mosty stanowiły 69% wszystkich środków skradzionych w tym roku, podała wówczas firma.

„Zdecentralizowane łańcuchy nie są przeznaczone do zatrzymywania, ale kontaktując się z walidatorami społeczności jeden po drugim, byliśmy w stanie powstrzymać rozprzestrzenianie się incydentu” – powiedział BNB Chain w piątkowym oświadczeniu.

BNB Smart Chain ma 26 aktywnych walidatorów i łącznie 44, podała sieć, dodając, że dąży do rozszerzenia walidatorów, aby zwiększyć dalsza decentralizacja.

Chociaż sieć BNB poinformowała, że ​​„ogromna większość funduszy pozostaje pod kontrolą”, rzecznik prasowy nie od razu zwrócił się z prośbą o dalszy komentarz. 

Najnowsze włamanie prawdopodobnie skłoni operatorów do rozwiązania problemu braku zautomatyzowanej reakcji na incydenty bezpieczeństwa w przestrzeni kryptograficznej, powiedział Lewellen dla Blockworks. 

Założona w 2015 roku firma OpenZeppelin posiada platformę umożliwiającą użytkownikom zarządzanie inteligentnymi umowami, takimi jak kontrola dostępu, aktualizacje i wstrzymywanie. Firma chroni dziesiątki miliardów dolarów w funduszach dla organizacji takich jak Coinbase i Ethereum Foundation.

Czytaj dalej, aby uzyskać fragmenty wywiadu Blockworks z Lewellen po włamaniu.

Prace blokowe: Co sądzisz o tym najnowszym hacku w sieci BNB?

Lewellena: To trochę dziwne, ponieważ jest to błąd, który znajdował się we wstępnie skompilowanym inteligentnym kontrakcie.

Dzięki Binance Chain dodawali po prostu wiele funkcji do natywnego protokołu, aby wspierać inteligentne kontrakty i właśnie tam pojawił się błąd. Myślę więc, że należy zadać sobie pytanie, czy tego rodzaju zmiany powinny być natywny protokół. Może powinien być zawarty w inteligentnej umowie i trzymany poza zakresem protokołu, ponieważ te rzeczy są ryzykowne.

Nie wiemy, w jaki sposób błąd pojawił się w protokole lub jego pierwotnym źródle. Ale gdzie jest kod — a poziom bezpieczeństwa fragmentów kodu zależy od warstwy, w której się znajdują — musi być lepszy.

Te łańcuchy i mosty dowodu autorytetu trochę to komplikują. To już nie jest jasna hierarchia. Teraz równolegle dzieje się wiele różnych warstw, których ludzie muszą być bardziej świadomi.   

Prace blokowe: Jak reakcja na ten hack mogła być lepsza?

Lewellena: Chociaż myślę, że ogólnie zareagowali dobrze, jest większe pytanie… czy to naprawdę najlepsze, co można zrobić, jeśli ta rola została przyjęta.

Nie mogę rozmawiać z tym, co robi społeczność walidatorów Binance Chain, ani jak koordynują lub ćwiczą tego rodzaju rzeczy… ale najwyraźniej już raz to przećwiczyli.

Mówię jako ktoś z zewnątrz, ale widząc, że inne projekty DeFi reagują na to jako ich klient, myślę, że może być o wiele więcej staranności i przyjęcia roli kogoś, kto ma zdolność reagowania na incydenty bezpieczeństwa. 

A jeśli nie mają tej roli, po prostu muszą być z tym bardzo szczerzy. Niezależnie od tego, czy w niektórych przypadkach istnieje wahanie, czy go wykorzystać, a może nie w innych, w tej chwili oczywiście istnieje i myślę, że można to zrobić lepiej w przyszłości, jeśli wiele się z tego nauczymy.   

Prace blokowe: Czy możesz wskazać przykłady skutecznej automatycznej odpowiedzi na włamanie?

Lewellena: Jesteśmy wciąż na wczesnym etapie. Myślę, że widzimy zespoły, które są coraz lepsze w wykrywaniu rzeczy i reagowaniu, ale szczerze mówiąc, te hacki zdarzają się na mostach, które moim zdaniem nie obejmują tego samego poziomu należytej staranności.

Nie sądzę, że widzieliśmy do tego dobry przypadek. Wiemy, że to możliwe, przeprowadziliśmy symulacje w OpenZeppelin, aby wiedzieć, że jest to wykonalne, i zbudowaliśmy narzędzia, aby temu zaradzić. Ale jak na ironię, myślę, że najlepiej przygotowane do tego zespoły mogą być te, które są najmniej podatne na zhakowanie.

Ludzie, którzy są najczęściej hackowani, są również tymi, którzy moim zdaniem są najmniej przygotowani na hacking.

Prace blokowe: Jakich narzędzi lub praktyk należy użyć, aby szybko bronić się przed włamaniami?  

Lewellena: To, czego [operatorzy] naprawdę potrzebują, to coś, co daje natychmiastowe powiadomienie, lub w zasadzie coś, co obserwuje wszystko w łańcuchu… analizuje to, a następnie określa, „czy było tu jakieś ryzyko?”

Jeśli duże kwoty funduszy zostaną przeniesione, prawdopodobnie będzie to w porządku i stanowi część codziennych operacji, ale jeśli wypadnie poza normę… [ważne, aby mieć] natychmiastowe powiadomienie o tym.

Jeśli możesz pójść dalej i wykryć rzeczy, które nigdy nie powinny się zdarzyć, takie jak wychodzenie pieniędzy ze skarbca, który powinien być zamknięty lub więcej tokenów niż powinno być w istniejącej puli tokenów… wiesz, że coś się dzieje. Jeśli nie skłonisz ludzi do natychmiastowej odpowiedzi, może nawet zautomatyzujesz niektóre sposoby, w jakie możesz natychmiast wyciąć niektóre rampy wyjściowe… lub sprawisz, że walidatorzy będą gotowi do odpowiedzi, a może nawet zrobią z nimi ćwiczenia.

Prace blokowe: Co jest kluczowe dla operatorów, którzy starają się przeciwdziałać zagrożeniom bezpieczeństwa w przyszłości? 

Lewellena: Myślę, że stanie się to trochę bardziej uczciwe w kwestii roli różnych operatorów i protokołów oraz uprawnień administracyjnych. 

Dzięki blockchainowi Ethereum sposób, w jaki zareagował Binance Chain, nie byłby możliwy dla Ethereum, ale Ethereum stwarza również to oczekiwanie, że łańcuch nie wkroczy i Cię nie uratuje.

Jeśli masz zamiar mieć takie podejście, w którym masz sieć, w której ludzie mogą reagować, albo przyjmij to, albo odejdź od niej. Albo być w pełni zdecentralizowane, albo wystarczająco scentralizowane, aby odpowiadać za reagowanie na incydenty związane z bezpieczeństwem. Przyjmij tę rolę w pełni, starając się być jak najlepiej przygotowanym i informując operatorów węzłów sieci, że będzie to ich odpowiedzialność.

Ten wywiad został zredagowany dla jasności i zwięzłości.

Uczęszczać DAS: LONDYN i posłuchaj, jak największe instytucje TradFi i kryptowaluty widzą przyszłość instytucjonalnej adopcji kryptowalut. Zarejestrować tutaj.