После взлома сети BNB операторы должны столкнуться с вопросом децентрализации

Следование за злоумышленниками использование сети Binance BNB и вывод 2 миллионов BNB, криптоиндустрия сейчас сталкивается с вопросами децентрализации, реагированием на инциденты безопасности и распространением взломов.

Операторы и протоколы в космосе должны сделать выбор: стать полностью децентрализованными или быть лучше подготовленными к реагированию на взломы, сказал Майкл Левеллен, руководитель отдела архитектуры решений в фирме, занимающейся безопасностью блокчейнов. OpenZeppelin.

Сеть BNB сказала в заявлении в пятницу что последний эксплойт затронул BSC Token Hub — родной межсетевой мост между BNB Beacon Chain и BNB Smart Chain.

Блок аналитики блокчейна Chainalysis оценивается в августе что криптовалюта на сумму 2 миллиарда долларов была украдена в результате 13 взломов кроссчейн-моста. На нападения на мосты пришлось 69% всех украденных в этом году средств, заявила тогда компания.

«Децентрализованные сети не предназначены для остановки, но, связавшись с валидаторами сообщества один за другим, мы смогли остановить распространение инцидента», — говорится в заявлении BNB Chain в пятницу.

BNB Smart Chain имеет 26 активных валидаторов, всего 44, заявила сеть, добавив, что она стремится расширить количество валидаторов для повышения дальнейшая децентрализация.

Хотя BNB Chain сообщила, что «подавляющее большинство средств остается под контролем», представитель не сразу ответил на запрос о дальнейших комментариях. 

Последний взлом, вероятно, побудит операторов решить проблему отсутствия автоматического реагирования на инциденты безопасности в криптопространстве, сказал Левеллен Blockworks. 

Компания OpenZeppelin, основанная в 2015 году, имеет платформу, позволяющую пользователям управлять администрированием смарт-контрактов, включая контроль доступа, обновления и приостановку. Компания защищает десятки миллиардов долларов средств для таких организаций, как Coinbase и Ethereum Foundation.

Продолжайте читать отрывки из интервью Blockworks с Льюэлленом после взлома.

Блоки: Что вы думаете об этом последнем взломе сети BNB?

Левеллен: На самом деле это довольно странно, так как это ошибка, которая была в предварительно скомпилированном смарт-контракте.

С Binance Chain они просто добавляли множество функций в родной протокол для поддержки смарт-контрактов, и именно здесь возникла ошибка. Родной протокол. Возможно, это должно содержаться в смарт-контракте и оставаться за рамками протокола, потому что это рискованно.

Мы не знаем, как баг появился внутри протокола или его первоисточника. Но то, где находится код — и уровень безопасности фрагментов кода в зависимости от того, на каком уровне они находятся — должно быть лучше.

Эти цепочки и мосты проверки полномочий усложняют ситуацию. Это уже не четкая иерархия. Теперь параллельно происходит множество различных уровней, о которых люди должны быть более осведомлены.   

Блоки: Как можно было лучше отреагировать на этот взлом?

Левеллен: Хотя я думаю, что в целом они отреагировали здесь хорошо, есть более важный вопрос… было ли это действительно лучшим, что можно было бы сделать, если бы эта роль была принята.

Я не могу говорить о том, что делает сообщество валидаторов Binance Chain или как они координируют или практикуют подобные вещи… но они явно практиковали это однажды.

Я говорю как человек со стороны, но, видя, как другие проекты DeFi реагируют на это как их клиенты, я думаю, что можно было бы проявить гораздо больше усердия и взять на себя роль человека, способного реагировать на инциденты безопасности. 

И если у них нет роли, им просто нужно быть очень откровенными с этим. Есть ли нерешительность в использовании его в некоторых случаях и, возможно, нет в других, сейчас очевидно, что он существует, и я думаю, что в будущем его можно было бы сделать лучше, если мы многому научимся из этого.   

Блоки: Можете ли вы указать какие-либо примеры эффективной автоматической мгновенной реакции на взлом?

Левеллен: Мы все еще на ранних стадиях. Я думаю, что мы видим команды, которые лучше обнаруживают вещи и реагируют, но, честно говоря, эти взломы происходили на мостах, которые, как мне кажется, не придерживались того же уровня должной осмотрительности.

Я не думаю, что мы видели хороший случай для этого. Мы знаем, что это возможно, мы провели моделирование в OpenZeppelin, чтобы убедиться, что это возможно, и мы создали инструменты для решения этой проблемы. Но по иронии судьбы я думаю, что команды, лучше всего подготовленные к этому, в первую очередь наименее подвержены взлому.

Люди, которых взламывают больше всего, я думаю, наименее подготовлены к тому, чтобы их взломали.

Блоки: Какие инструменты или методы следует использовать для быстрой защиты от взлома?  

Левеллен: Что [операторам] действительно нужно, так это что-то, что дает вам немедленное уведомление или, по сути, что-то, что наблюдает за всем в сети… анализирует это, а затем определяет, «были ли здесь обнаружены какие-либо риски?»

Если перемещаются большие суммы средств, это, вероятно, нормально и является частью повседневных операций, но если это выходит за рамки нормы… [важно иметь] немедленное уведомление об этом.

Если вы можете пойти дальше и обнаружить вещи, которые никогда не должны происходить, например, деньги, перемещаемые из хранилища, которое должно быть заблокировано, или больше токенов, чем должно быть в существующем запасе токенов… вы знаете, что что-то происходит. Если не заставлять людей немедленно отвечать на вызовы, может быть, даже автоматизировать некоторые способы, которыми вы могли бы немедленно сократить некоторые из выходных пандусов… или подготовить своих валидаторов к ответу и, возможно, даже провести с ними тренировки.

Блоки: Что является ключевым для операторов, стремящихся устранить риски безопасности в будущем? 

Левеллен: Я думаю, что это станет немного более честным с ролью различных операторов и протоколов, а также с административными полномочиями. 

С блокчейном Ethereum то, как отреагировала Binance Chain, было бы невозможно для Ethereum, но Ethereum также создает ожидание того, что цепочка не собирается вмешиваться и спасать вас.

Если вы собираетесь использовать такой подход, когда у вас есть сеть, где люди могут реагировать, либо примите его, либо откажитесь от него. Либо быть полностью децентрализованным, либо быть достаточно централизованным, чтобы нести ответственность за реагирование на инциденты безопасности. Полностью примите эту роль, постарайтесь быть как можно более подготовленными и сообщите операторам узлов вашей сети, что это будет их обязанностью.

Это интервью было отредактировано для ясности и краткости.

Посещать ДАС: ЛОНДОН и узнайте, как крупнейшие организации TradFi и криптовалюты видят будущее институционального принятия криптовалюты. регистр здесь.