După Hackul BNB în lanț, operatorii trebuie să se confrunte cu o problemă de descentralizare

Urmărirea atacatorilor exploatând lanțul BNB al Binance și retrăgând 2 milioane BNB, industria cripto se confruntă acum cu întrebări despre descentralizare, răspunsuri la incidente de securitate și prevalența hackurilor.

Operatorii și protocoalele din spațiu trebuie să aleagă să devină complet descentralizate sau să fie mai bine pregătiți să răspundă la hack-uri, a spus Michael Lewellen, șeful arhitecturii soluțiilor la firma de securitate blockchain. Deschide Zeppelin.

a spus BNB Chain într-o declarație vineri că cea mai recentă exploatare a afectat BSC Token Hub — puntea nativă încrucișată între BNB Beacon Chain și BNB Smart Chain.

Unitatea de analiză blockchain Analiza în lanț estimată în august acea valoare de 2 miliarde de dolari a fost furată prin intermediul a 13 hack-uri de poduri încrucișate. Atacurile asupra podurilor au reprezentat 69% din totalul fondurilor furate anul acesta, a spus compania la acea vreme.

„Lanțurile descentralizate nu sunt concepute pentru a fi oprite, dar contactând validatorii comunității unul câte unul, am reușit să oprim răspândirea incidentului”, a spus BNB Chain într-o declarație vineri.

BNB Smart Chain are 26 de validatoare active și 44 în total, a declarat rețeaua, adăugând că urmărește să extindă validatorii pentru a stimula descentralizare în continuare.

Deși BNB Chain a raportat că „majoritatea mare a fondurilor rămân sub control”, un purtător de cuvânt nu a returnat imediat o solicitare de comentarii suplimentare. 

Cel mai recent hack-ul va stimula probabil operatorii să abordeze lipsa de răspuns automat la incidentele de securitate din spațiul cripto, a declarat Lewellen pentru Blockworks. 

Fondată în 2015, OpenZeppelin are o platformă care permite utilizatorilor să gestioneze administrarea inteligentă a contractelor, cum ar fi controalele de acces, upgrade-urile și întreruperea. Compania asigură fonduri de zeci de miliarde de dolari pentru organizații precum Coinbase și Fundația Ethereum.

Continuați să citiți pentru fragmente din interviul lui Blockworks cu Lewellen în urma hackului.

Blocuri: Ce părere aveți despre acest ultim hack pe lanțul BNB?

Lewellen: Acesta este de fapt unul ciudat, deoarece acesta este o eroare care a fost într-un contract inteligent pre-compilat.

Cu Binance Chain, ei doar adăugau o mulțime de funcții în protocolul nativ pentru a susține contractele inteligente și acolo a ajuns să apară eroarea. Așa că cred că trebuie să existe o întrebare dacă acest tip de modificări ar trebui să fie într-un protocol nativ. Poate ar trebui să fie conținut într-un contract inteligent și păstrat în afara domeniului de aplicare al protocolului, deoarece aceste lucruri sunt riscante.

Nu știm cum a apărut eroarea în interiorul protocolului sau sursa sa originală. Dar unde este codul - și nivelul de siguranță pe care îl au bucățile de cod în funcție de stratul în care se află - trebuie să fie mai bun.

Aceste lanțuri și punți de dovadă a autorității complică asta. Nu mai este o ierarhie clară. Acum există o mulțime de straturi diferite care se întâmplă în paralel de care oamenii trebuie să fie mult mai conștienți.   

Blocuri: Cum a putut fi mai bun răspunsul la acest hack?

Lewellen: Deși cred că au răspuns bine în general aici, există o întrebare mai amplă despre... oare acesta a fost într-adevăr cel mai bun lucru care ar putea fi făcut dacă acel rol ar fi acceptat.

Nu pot vorbi despre ce face comunitatea de validatori Binance Chain sau despre cum coordonează sau exersează pentru astfel de lucruri... dar evident că au practicat-o o dată acum.

Vorbesc ca cineva din exterior, dar văzând că alte proiecte DeFi răspund la asta ca client, cred că ar putea fi mult mai multă diligență și să îmbrățișeze rolul cuiva care are capacitatea de a răspunde la incidente de securitate. 

Și dacă nu au rolul, trebuie doar să fie foarte inițiali cu asta. Fie că există o ezitare de a-l folosi în unele cazuri și poate nu în altele, chiar acum există și cred că s-ar putea face mai bine în viitor dacă învățăm multe din asta.   

Blocuri: Puteți indica exemple de răspuns instantaneu automat eficient la un hack?

Lewellen: Suntem încă în stadii incipiente. Cred că vedem echipe care devin mai bune la detectarea lucrurilor și la răspuns, dar sincer cred că aceste hack-uri au avut loc pe poduri care nu cred că au îmbrățișat același nivel de due diligence.

Nu cred că am văzut un caz bun pentru asta. Știm că este posibil, am făcut simulările la OpenZeppelin pentru a ști că este fezabil și am construit instrumente pentru a rezolva problema. Dar, în mod ironic, cred că echipele cel mai bine pregătite pentru asta ar putea fi echipele care sunt cel mai puțin susceptibile de a fi piratate în primul rând.

Oamenii care sunt piratați cel mai mult sunt și cei care cred că sunt cel mai puțin pregătiți să fie piratați.

Blocuri: Ce fel de instrumente sau practici ar trebui folosite pentru a vă apăra rapid împotriva hackurilor?  

Lewellen: Ceea ce au nevoie [operatorii] cu adevărat este ceva care să vă ofere o notificare imediată sau, practic, ceva care urmărește tot ce este în lanț... analizându-l și apoi să determine „au fost expuse vreun risc aici?”

Dacă sunt mutate sume mari de fonduri, probabil că este în regulă și face parte din operațiunile de zi cu zi, dar dacă nu se încadrează în normă... [este important să avem] o notificare imediată despre asta.

Dacă poți să mergi mai departe și să detectezi lucruri care nu ar trebui să apară niciodată, cum ar fi banii care se mută dintr-un seif care ar trebui să fie blocat sau mai multe jetoane decât ar trebui să fie în stocul de jetoane existente... știi că se întâmplă ceva. Dacă nu convingeți oamenii imediat la apel să răspundă, poate chiar automatizați unele dintre modalitățile prin care ați putea tăia imediat unele dintre rampele de ieșire... sau vă faceți validatorii să fie gata să răspundă și poate chiar să facă exerciții cu ei.

Blocuri: Care este cheia pentru operatori care caută să abordeze riscurile de securitate în viitor? 

Lewellen: Cred că va deveni puțin mai sincer cu rolul diferiților operatori și protocoale și care sunt puterile administrative. 

Cu blockchain-ul Ethereum, modul în care a răspuns Binance Chain nu ar fi fost posibil pentru Ethereum, dar Ethereum creează, de asemenea, această așteptare că lanțul nu va interveni și nu va salva.

Dacă veți avea o astfel de abordare în care aveți o rețea în care oamenii pot răspunde, fie acceptați-o, fie îndepărtați-vă de ea. Fie să fie complet descentralizat, fie să fie suficient de centralizat pentru a avea responsabilitatea de a răspunde la incidentele de securitate. Acceptați rolul pe deplin încercând să fiți cât mai pregătiți posibil și spunându-le operatorilor de noduri pentru rețeaua dvs. că aceasta va fi responsabilitatea lor.

Acest interviu a fost editat pentru claritate și scurtitate.

A se prezenta, frecventa DAS: LONDRA și auziți cum văd cele mai mari instituții TradFi și crypto viitorul adoptării instituționale a cripto. Inregistreaza-te aici.