Efter BNB Chain Hack måste operatörer möta frågan om decentralisering

Följer angripare utnyttja Binances BNB-kedja och drar in 2 miljoner BNB brottas kryptoindustrin nu med frågor om decentralisering, svar på säkerhetsincidenter och förekomsten av hacks.

Operatörer och protokoll i utrymmet måste välja att bli helt decentraliserade eller vara bättre förberedda att svara på hacks, säger Michael Lewellen, chef för lösningsarkitektur på blockchain-säkerhetsföretaget Öppna Zeppelin.

sa BNB Chain i ett uttalande på fredag att den senaste exploateringen påverkade BSC Token Hub – den inhemska tvärkedjebryggan mellan BNB Beacon Chain och BNB Smart Chain.

Blockchain analysenhet Kedjeanalys beräknad i augusti att krypto till ett värde av 2 miljarder dollar hade stulits över 13 brygghack. Attacker på broar stod för 69% av de totala pengar som stulits i år, sa företaget då.

"Decentraliserade kedjor är inte designade för att stoppas, men genom att kontakta communityvaliderare en efter en kunde vi stoppa incidenten från att sprida sig", sa BNB Chain i ett uttalande på fredagen.

BNB Smart Chain har 26 aktiva validerare och totalt 44, uppgav nätverket och tillade att det strävar efter att utöka validatorerna för att öka ytterligare decentralisering.

Även om BNB Chain rapporterade att "den stora majoriteten av fonderna förblir under kontroll", returnerade en talesman inte omedelbart en begäran om ytterligare kommentarer. 

Det senaste hacket kommer sannolikt att sporra operatörer att ta itu med bristen på automatiserade svar på säkerhetsincidenter i kryptorymden, sa Lewellen till Blockworks. 

OpenZeppelin grundades 2015 och har en plattform som tillåter användare att hantera smart kontraktsadministration, såsom åtkomstkontroller, uppgraderingar och paus. Företaget skyddar tiotals miljarder dollar i fonder för organisationer som Coinbase och Ethereum Foundation.

Fortsätt läsa för utdrag från Blockworks intervju med Lewellen efter hacket.

Blockverk: Vad tycker du om det här senaste hacket på BNB-kedjan?

Lewellen: Det här är faktiskt lite konstigt, eftersom det här är en bugg som fanns i ett förkompilerat smart kontrakt.

Med Binance Chain lade de bara till en massa funktioner i det inbyggda protokollet för att stödja smarta kontrakt, och det var där buggen kom in. Så jag tror att det måste finnas en fråga om huruvida den här typen av förändringar ska vara i en inbyggt protokoll. Kanske borde det ingå i ett smart kontrakt och hållas utanför protokollets omfattning eftersom dessa saker är riskabla.

Vi vet inte hur felet dök upp i protokollet eller dess ursprungliga källa. Men var koden finns - och nivån på säkerhetsbitar av kod har beroende på vilket lager de är i - måste bli bättre.

Dessa bevis-av-auktoritetskedjor och broar komplicerar det. Det är inte längre en tydlig hierarki. Det händer nu många olika lager parallellt som folk måste bli mycket mer medvetna om.   

Blockverk: Hur kunde svaret på detta hack ha varit bättre?

Lewellen: Även om jag tycker att de svarade bra överlag här, finns det en större fråga om...var detta verkligen det bästa som kunde göras om den rollen omfamnades.

Jag kan inte tala om vad Binance Chain-valideringsgemenskapen gör eller hur de koordinerar eller övar för den här sortens saker...men de har uppenbarligen övat på det en gång nu.

Jag talar som någon utifrån, men när jag ser andra DeFi-projekt reagera på detta som sin klient, tror jag att det kan vara mycket mer noggrannhet och att omfamna rollen som någon som har förmågan att reagera på säkerhetsincidenter. 

Och om de inte har rollen behöver de bara vara väldigt uppmärksamma med det. Oavsett om det finns en tveksamhet att använda det i vissa fall och kanske inte i andra, just nu finns det uppenbarligen och jag tror att det skulle kunna göras bättre i framtiden om vi lär oss mycket av detta.   

Blockverk: Kan du peka på några exempel på ett effektivt automatiserat omedelbart svar på ett hack?

Lewellen: Vi är fortfarande i ett tidigt skede. Jag tror att vi ser team som blir bättre på att upptäcka saker och svara, men jag tror ärligt talat att dessa hack har förekommit på broar som jag inte tror har anammat samma nivå av due diligence.

Jag tror inte att vi har sett några bra argument för det. Vi vet att det är möjligt, vi har gjort simuleringarna på OpenZeppelin för att veta att det är genomförbart, och vi har byggt verktyg för att hantera det. Men ironiskt nog tror jag att de lag som är bäst förberedda på det kan vara de lag som är minst mottagliga för att bli hackade i första hand.

De personer som hackas mest är också de som jag tror är minst beredda att bli hackade.

Blockverk: Vilka typer av verktyg eller metoder bör användas för att snabbt försvara sig mot hackor?  

Lewellen: Vad [operatörer] verkligen behöver är något som ger dig omedelbar avisering, eller i princip något som tittar på allt i kedjan ... analyserar det och sedan avgör, "blev några risker exponerade här?"

Om stora mängder pengar flyttas är det förmodligen bra och en del av den dagliga verksamheten, men om det faller utanför normen ... [är det viktigt att få] omedelbar besked om det.

Om du kan gå längre och upptäcka saker som aldrig borde inträffa, som att pengar flyttar ut från ett valv som borde vara låst eller fler tokens än vad som borde finnas i det befintliga tokenförrådet...du vet att något händer. Om du inte får folk på samtal omedelbart att svara, kanske till och med automatisera några av sätten att du omedelbart kan skära ner några av utfartsramperna... eller få dina validerare att vara redo att svara och kanske till och med göra övningar med dem.

Blockverk: Vad är nyckeln för operatörer när de försöker hantera säkerhetsrisker framöver? 

Lewellen: Jag tror att det kommer att bli lite mer ärlig med olika operatörers roll och protokoll och vilka administrativa befogenheter som finns. 

Med Ethereum blockchain skulle sättet som Binance Chain svarade inte ha varit möjligt för Ethereum, men Ethereum skapar också denna förväntan att kedjan inte kommer att gå in och rädda dig.

Om du ska ha ett sådant tillvägagångssätt där du har ett nätverk där människor kan svara, antingen omfamna det eller gå bort från det. Antingen vara helt decentraliserad eller vara tillräckligt central för att ha ansvar för att svara på säkerhetsincidenter. Omfamna rollen fullt ut genom att försöka vara så förberedd som möjligt och tala om för nodoperatörerna för ditt nätverk att detta kommer att vara deras ansvar.

Denna intervju har redigerats för tydlighet och korthet.

Delta i DAS: LONDON och hör hur de största TradFi- och kryptoinstitutionerna ser på framtiden för kryptos institutionella adoption. Registrera här.