Po vdoru v verigo BNB se morajo operaterji soočiti z vprašanjem decentralizacije

Sledi napadalcem izkoriščanje Binanceove verige BNB in umika 2 milijonov BNB, se kripto industrija zdaj spopada z vprašanji decentralizacije, odzivov na varnostne incidente in razširjenosti vdorov.

Operaterji in protokoli v prostoru se morajo odločiti, ali bodo postali popolnoma decentralizirani ali pa bodo bolje pripravljeni na odziv na vdore, je dejal Michael Lewellen, vodja arhitekture rešitev pri varnostnem podjetju blockchain. Odpri Zeppelin.

BNB Chain je dejal v petkovi izjavi da je najnovejši izkoristek prizadel BSC Token Hub — izvorni medverižni most med BNB Beacon Chain in BNB Smart Chain.

Enota za analizo blokovnih verig Verižna analiza ocenjena avgusta da je bila kriptovaluta v vrednosti 2 milijard dolarjev ukradena s 13 vdori medverižnih mostov. Napadi na mostove so predstavljali 69 % vseh ukradenih sredstev v tem letu, so takrat sporočili iz družbe.

"Decentralizirane verige niso zasnovane tako, da jih je mogoče ustaviti, vendar smo z vzpostavljanjem stika z validatorji skupnosti enega za drugim uspeli preprečiti širjenje incidenta," je v petkovi izjavi dejal BNB Chain.

BNB Smart Chain ima 26 aktivnih validatorjev in skupno 44, je navedlo omrežje in dodalo, da želi razširiti validatorje za povečanje nadaljnja decentralizacija.

Čeprav je veriga BNB poročala, da "velika večina sredstev ostaja pod nadzorom," tiskovni predstavnik ni takoj vrnil zahteve za nadaljnje komentarje. 

Najnovejši vdor bo operaterje verjetno spodbudil k reševanju pomanjkanja avtomatiziranega odziva na varnostne incidente v kripto prostoru, je Lewellen povedal za Blockworks. 

OpenZeppelin, ustanovljen leta 2015, ima platformo, ki uporabnikom omogoča upravljanje administracije pametnih pogodb, kot so nadzor dostopa, nadgradnje in prekinitve. Podjetje varuje na desetine milijard dolarjev sredstev za organizacije, kot sta Coinbase in Ethereum Foundation.

Nadaljujte z branjem za odlomke iz Blockworksovega intervjuja z Lewellenom po vdoru.

Blockworks: Kaj menite o tem zadnjem vdoru v verigo BNB?

Lewellen: To je pravzaprav nekoliko čudno, saj gre za napako, ki je bila v vnaprej sestavljeni pametni pogodbi.

Z Binance Chain so pravkar dodajali veliko funkcij v izvorni protokol za podporo pametnim pogodbam in tu se je na koncu pojavila napaka. Zato menim, da se je treba vprašati, ali naj bodo te vrste sprememb v izvorni protokol. Mogoče bi ga bilo treba vključiti v pametno pogodbo in ga hraniti zunaj obsega protokola, ker so te stvari tvegane.

Ne vemo, kako se je napaka pojavila znotraj protokola ali njegovega izvirnega vira. Toda tam, kjer je koda – in stopnja varnosti, ki jo imajo deli kode glede na to, v kateri plasti so – mora biti boljša.

Te verige dokazov avtoritete in mostovi to nekako zapletejo. To ni več jasna hierarhija. Zdaj se vzporedno dogaja veliko različnih plasti, ki se jih morajo ljudje veliko bolj zavedati.   

Blockworks: Kako bi lahko bil odziv na ta vdor boljši?

Lewellen: Čeprav menim, da so se tukaj na splošno dobro odzvali, obstaja večje vprašanje ... ali je bilo to res najboljše, kar je bilo mogoče narediti, če bi sprejeli to vlogo.

Ne morem govoriti o tem, kaj počne skupnost validatorjev Binance Chain ali kako se usklajujejo ali vadijo za tovrstne stvari ... toda očitno so to že enkrat vadili.

Govorim kot nekdo od zunaj, a ko vidim, da se drugi projekti DeFi odzivajo na to kot njihova stranka, menim, da bi lahko bilo veliko več skrbnosti in sprejemanja vloge nekoga, ki se lahko odzove na varnostne incidente. 

In če nimajo vloge, morajo biti s tem zelo odkriti. Ne glede na to, ali obstaja obotavljanje, da bi ga uporabili v nekaterih primerih in morda ne v drugih, trenutno očitno obstaja in mislim, da bi ga lahko v prihodnosti naredili bolje, če bi se iz tega veliko naučili.   

Blockworks: Ali lahko navedete kakšen primer učinkovitega avtomatiziranega takojšnjega odziva na vdor?

Lewellen: Še vedno smo v zgodnji fazi. Mislim, da opažamo ekipe, ki postajajo vse boljše pri zaznavanju stvari in odzivanju, toda iskreno mislim, da so se ti vdori pojavljali na mostovih, za katere mislim, da niso sprejeli iste stopnje potrebne skrbnosti.

Mislim, da nismo videli dobrega primera za to. Vemo, da je to mogoče, pri OpenZeppelinu smo naredili simulacije, da bi vedeli, da je to izvedljivo, in izdelali smo orodja za reševanje tega. A ironično mislim, da so ekipe, ki so na to najbolje pripravljene, ekipe, ki so najmanj dovzetne za vdore.

Ljudje, ki so najbolj vdrti, so tudi tisti, za katere menim, da so najmanj pripravljeni na vdore.

Blockworks: Kakšna orodja ali prakse je treba uporabiti za hitro obrambo pred vdori?  

Lewellen: Tisto, kar [operaterji] resnično potrebujejo, je nekaj, kar vam daje takojšnje obvestilo, ali v bistvu nekaj, kar opazuje vse v verigi ... to analizira in nato ugotavlja, "ali so bila tukaj izpostavljena kakšna tveganja?"

Če se premaknejo velike količine sredstev, je to verjetno v redu in je del vsakodnevnih operacij, če pa pade izven norme … [pomembno je imeti] takojšnje obvestilo o tem.

Če lahko greste dlje in odkrijete stvari, ki se nikoli ne bi smele zgoditi, na primer denar, ki se premika iz trezorja, ki bi moral biti zaklenjen, ali več žetonov, kot bi moralo biti v obstoječi ponudbi žetonov ... veste, da se nekaj dogaja. Če ne pripravite takojšnjih ljudi, da se odzovejo, morda celo avtomatizirate nekatere načine, da lahko takoj zmanjšate nekatere izhodne rampe ... ali zagotovite, da so vaši validatorji pripravljeni na odziv, in morda celo izvajate vaje z njimi.

Blockworks: Kaj je ključnega pomena za operaterje, ko si prizadevajo za obravnavo varnostnih tveganj v prihodnosti? 

Lewellen: Mislim, da bo postalo malo bolj pošteno glede vloge različnih operaterjev in protokolov ter kakšna so upravna pooblastila. 

Z verigo blokov Ethereum način, na katerega se je odzval Binance Chain, za Ethereum ne bi bil mogoč, vendar Ethereum ustvarja tudi to pričakovanje, da veriga ne bo vskočila in vas rešila.

Če boste imeli takšen pristop, kjer imate mrežo, kjer se lahko ljudje odzovejo, ga sprejmite ali se odmaknite od njega. Ali bodite popolnoma decentralizirani ali dovolj centralizirani, da boste odgovorni za odzivanje na varnostne incidente. V celoti sprejmite vlogo, tako da poskušate biti kar se da pripravljeni in operaterjem vozlišč za vaše omrežje poveste, da bo to njihova odgovornost.

Ta intervju je bil urejen zaradi jasnosti in kratkosti.

Udeležite DAS: LONDON in poslušajte, kako največje TradFi in kripto institucije vidijo prihodnost institucionalnega sprejemanja kripto. Registrirajte se tukaj.