• BNB Chain entrou em contato com validadores da comunidade para impedir a propagação do incidente
  • “Seja totalmente descentralizado ou centralizado o suficiente para ter a responsabilidade de responder a incidentes de segurança”, diz o chefe de arquitetura de soluções do OpenZeppelin

Seguindo os atacantes explorando a cadeia BNB da Binance e retirando 2 milhões de BNB, a indústria de criptomoedas agora está lidando com questões de descentralização, respostas a incidentes de segurança e a prevalência de hacks.

Operadores e protocolos no espaço devem optar por se tornar totalmente descentralizados ou estar melhor preparados para responder a hacks, disse Michael Lewellen, chefe de arquitetura de soluções da empresa de segurança blockchain. OpenZeppelin.

Rede BNB disse em um comunicado sexta-feira que a exploração mais recente afetou o BSC Token Hub — a ponte nativa de cadeia cruzada entre o BNB Beacon Chain e o BNB Smart Chain.

Unidade de análise de blockchain Chainalysis estimado em agosto que US $ 2 bilhões em criptomoedas foram roubados em 13 hacks de pontes cruzadas. Ataques a pontes representaram 69% do total de fundos roubados este ano, disse a empresa na época.

“As cadeias descentralizadas não foram projetadas para serem interrompidas, mas ao entrar em contato com os validadores da comunidade, um por um, conseguimos impedir que o incidente se espalhasse”, disse o BNB Chain em comunicado na sexta-feira.

O BNB Smart Chain tem 26 validadores ativos e 44 no total, informou a rede, acrescentando que busca expandir os validadores para aumentar mais descentralização.

Embora o BNB Chain tenha relatado que “a grande maioria dos fundos permanece sob controle”, um porta-voz não retornou imediatamente um pedido de comentários adicionais. 

O hack mais recente provavelmente estimulará os operadores a resolver a falta de resposta automatizada a incidentes de segurança no espaço criptográfico, disse Lewellen à Blockworks. 

Fundado em 2015, o OpenZeppelin possui uma plataforma que permite aos usuários gerenciar a administração de contratos inteligentes, como controles de acesso, atualizações e pausas. A empresa protege dezenas de bilhões de dólares em fundos para organizações como a Coinbase e a Ethereum Foundation.

Continue lendo para trechos da entrevista da Blockworks com Lewellen após o hack.

Blocos: O que você acha deste último hack na BNB Chain?

Lewellen: Na verdade, isso é meio estranho, pois é um bug que estava em um contrato inteligente pré-compilado.

Com a Binance Chain, eles estavam apenas adicionando muitos recursos ao protocolo nativo para oferecer suporte a contratos inteligentes, e foi aí que o bug acabou chegando. protocolo nativo. Talvez devesse estar contido em um contrato inteligente e mantido fora do escopo do protocolo porque essas coisas são arriscadas.

Não sabemos como o bug apareceu dentro do protocolo ou sua fonte original. Mas onde está o código – e o nível de segurança das partes do código, dependendo da camada em que estão – precisa ser melhor.

Essas cadeias e pontes de prova de autoridade complicam isso. Não é mais uma hierarquia clara. Agora há muitas camadas diferentes acontecendo em paralelo das quais as pessoas precisam estar muito mais conscientes.   

Blocos: Como a resposta a esse hack poderia ter sido melhor?

Lewellen: Embora eu ache que eles responderam bem no geral aqui, há uma questão maior de… isso foi realmente o melhor que poderia ser feito se esse papel fosse adotado.

Não posso falar sobre o que a comunidade de validadores da Binance Chain faz ou como eles coordenam ou praticam esse tipo de coisa… mas eles obviamente já praticaram isso uma vez.

Estou falando como alguém de fora, mas vendo outros projetos DeFi responderem a isso como seu cliente, acho que poderia haver muito mais diligência e abraçar o papel de alguém que tem a capacidade de responder a incidentes de segurança. 

E se eles não têm o papel, eles só precisam ser muito diretos com isso. Se há uma hesitação em utilizá-lo em alguns casos e talvez não em outros, agora obviamente existe e acho que poderia ser feito melhor no futuro se aprendermos muito com isso.   

Blocos: Você pode apontar alguns exemplos de uma resposta instantânea automatizada eficaz a um hack?

Lewellen: Ainda estamos nos estágios iniciais. Acho que estamos vendo equipes cada vez melhores em detectar coisas e responder, mas acho que, honestamente, esses hacks estão ocorrendo em pontes que não acho que estejam adotando o mesmo nível de diligência.

Acho que não vimos um bom caso para isso. Sabemos que é possível, fizemos as simulações no OpenZeppelin para saber se é viável e construímos ferramentas para lidar com isso. Mas, ironicamente, acho que as equipes mais bem preparadas para isso podem ser as equipes menos suscetíveis a serem hackeadas em primeiro lugar.

As pessoas que mais estão sendo hackeadas são também as que eu acho que estão menos preparadas para serem hackeadas.

Blocos: Que tipos de ferramentas ou práticas devem ser usadas para se defender rapidamente contra hacks?  

Lewellen: O que os [operadores] realmente precisam é de algo que lhe dê uma notificação imediata, ou basicamente algo que esteja observando tudo na cadeia... analisando e determinando, “algum risco foi exposto aqui?”

Se grandes quantias de fundos forem movidas, provavelmente está tudo bem e faz parte das operações do dia-a-dia, mas se sair fora da norma... [é importante ter] notificação imediata disso.

Se você puder ir mais longe e detectar coisas que nunca deveriam ocorrer, como dinheiro saindo de um cofre que deveria estar trancado ou mais fichas do que deveria estar no estoque de fichas existente... você sabe que algo está acontecendo. Se não conseguir que as pessoas respondam imediatamente, talvez até mesmo automatizar algumas das maneiras de reduzir imediatamente algumas das rampas de saída… ou fazer com que seus validadores estejam prontos para responder e talvez até fazer exercícios com eles.

Blocos: Qual é a chave para as operadoras que procuram lidar com os riscos de segurança daqui para frente? 

Lewellen: Acho que vai se tornar um pouco mais honesto com o papel de diferentes operadores e protocolos e quais são os poderes administrativos. 

Com o blockchain Ethereum, a maneira como a Binance Chain respondeu não teria sido possível para o Ethereum, mas o Ethereum também cria essa expectativa de que a cadeia não vai intervir e salvá-lo.

Se você vai ter esse tipo de abordagem em que você tem uma rede onde as pessoas podem responder, aceite ou se afaste dela. Seja totalmente descentralizado ou centralizado o suficiente para ter a responsabilidade de responder a incidentes de segurança. Abrace a função totalmente, tentando estar o mais preparado possível e informando aos operadores de nós da sua rede que isso será responsabilidade deles.

Esta entrevista foi editada para maior clareza e brevidade.

Assistir DAS: LONDRES e ouça como as maiores instituições de TradFi e criptomoedas veem o futuro da adoção institucional da criptomoeda. Registro Aqui.

  • Após o hack da cadeia BNB, as operadoras devem enfrentar a questão da descentralização da inteligência de dados PlatoBlockchain. Pesquisa vertical. Ai.
    Ben Strack

    Ben Strack é um repórter de Denver que cobre fundos nativos macro e criptográficos, consultores financeiros, produtos estruturados e a integração de ativos digitais e finanças descentralizadas (DeFi) em finanças tradicionais. Antes de ingressar na Blockworks, ele cobriu o setor de gerenciamento de ativos para a Fund Intelligence e foi repórter e editor de vários jornais locais em Long Island. Ele se formou na Universidade de Maryland com uma licenciatura em jornalismo.

    Entre em contato com Ben por e-mail em [email protegido]