Після зламу BNB Chain оператори повинні зіткнутися з питанням децентралізації

Слідкують за нападниками використання мережі BNB Chain від Binance і вилучивши 2 мільйони BNB, криптоіндустрія зараз бореться з питаннями децентралізації, реагування на інциденти безпеки та поширеності хакерів.

Оператори та протоколи в просторі повинні вибрати: стати повністю децентралізованими або бути краще готовими реагувати на хакерські атаки, сказав Майкл Левелен, керівник відділу архітектури рішень у фірмі безпеки блокчейнів. Відкрити Zeppelin.

Про це повідомляє мережа BNB у заяві в п'ятницю що останній експлойт вплинув на BSC Token Hub — рідний перехресний міст між BNB Beacon Chain і BNB Smart Chain.

Блок аналітики блокчейн Chainalysis оцінюється в серпні що криптовалюта на суму 2 мільярди доларів була вкрадена через 13 крос-ланцюгових хакерів. Напади на мости становили 69% від загальної кількості вкрадених коштів цього року, повідомила тоді компанія.

«Децентралізовані ланцюжки не призначені для припинення, але, зв’язавшись із валідаторами спільноти по одному, ми змогли зупинити поширення інциденту», — йдеться в заяві BNB Chain у п’ятницю.

BNB Smart Chain має 26 активних валідаторів і 44 загалом, заявила мережа, додавши, що вона прагне розширити валідатори, щоб посилити подальша децентралізація.

Хоча BNB Chain повідомила, що «переважна більшість коштів залишається під контролем», речник не відразу відповів на запит про подальші коментарі. 

Останній злом, ймовірно, спонукає операторів вирішити проблему відсутності автоматичного реагування на інциденти безпеки в криптопросторі, сказав Левелен Blockworks. 

OpenZeppelin, заснована в 2015 році, має платформу, яка дозволяє користувачам керувати адмініструванням смарт-контрактів, таким як контроль доступу, оновлення та призупинення. Компанія зберігає кошти на десятки мільярдів доларів для таких організацій, як Coinbase і Ethereum Foundation.

Продовжуйте читати уривки з інтерв’ю Blockworks із Левелленом після злому.

Брусок: Що ви думаєте про цей останній злом мережі BNB?

Lewellen: Це насправді щось дивне, оскільки це помилка, яка була у попередньо скомпільованому смарт-контракті.

З Binance Chain вони просто додавали багато функцій у нативний протокол для підтримки смарт-контрактів, і ось тут виникла помилка. Тож я думаю, що потрібно поставити питання, чи варто вносити такі зміни в нативний протокол. Можливо, це слід вмістити в смарт-контракт і залишити поза сферою протоколу, оскільки це ризиковано.

Ми не знаємо, як помилка з’явилася всередині протоколу чи його початкового джерела. Але там, де є код — і рівень безпеки частин коду залежно від того, на якому рівні вони знаходяться — має бути кращим.

Ці ланцюжки підтвердження повноважень і мости дещо ускладнюють це. Це вже не чітка ієрархія. Зараз існує багато різних рівнів, які відбуваються паралельно, і людям потрібно бути набагато свідомішими.   

Брусок: Як реакція на цей хак могла бути кращою?

Lewellen: Хоча я вважаю, що в цілому вони добре відреагували тут, виникає важливе питання… чи це справді було найкраще, що можна було зробити, якщо ця роль була прийнята.

Я не можу говорити про те, що спільнота валідаторів Binance Chain робить або як вони координують чи практикують подібні речі… але вони, очевидно, практикували це вже колись.

Я говорю як стороння людина, але, бачачи, як інші проекти DeFi реагують на це як їхні клієнти, я вважаю, що можна проявити набагато більше старанності та прийняти роль людини, яка має можливість реагувати на інциденти безпеки. 

І якщо вони не мають ролі, вони просто повинні бути дуже відкритими з цим. Незалежно від того, чи є вагання використовувати його в одних випадках і, можливо, ні в інших, зараз, очевидно, воно існує, і я думаю, що в майбутньому це можна зробити краще, якщо ми багато чому навчимося з цього.   

Брусок: Чи можете ви навести будь-які приклади ефективної автоматичної миттєвої реакції на хакерство?

Lewellen: Ми все ще на ранніх стадіях. Я думаю, що ми бачимо команди, які стають кращими у виявленні речей і реагуванні, але я думаю, чесно кажучи, ці хаки відбувалися на мостах, які, я не думаю, охоплювали той самий рівень належної обачності.

Я не думаю, що ми бачили вдалий випадок для цього. Ми знаємо, що це можливо, ми провели моделювання в OpenZeppelin, щоб знати, що це можливо, і ми створили інструменти для вирішення цієї проблеми. Але за іронією долі я думаю, що команди, які найкраще підготовлені до цього, можуть бути командами, які найменш сприйнятливі до злому.

Люди, яких зламують найбільше, також, на мою думку, найменше підготовлені до злому.

Брусок: Які інструменти чи методи слід використовувати для швидкого захисту від злому?  

Lewellen: Те, що [операторам] справді потрібно, — це щось, що дасть вам негайне сповіщення, або щось, що спостерігатиме за всім у ланцюжку… аналізує це, а потім визначає, «чи були тут якісь ризики?»

Якщо переміщуються великі суми коштів, це, ймовірно, нормально та є частиною повсякденних операцій, але якщо це виходить за межі норми… [важливо мати] негайне сповіщення про це.

Якщо ви можете піти далі та виявити речі, які ніколи не повинні статися, наприклад, переміщення грошей зі сховища, яке має бути заблоковано, або більше токенів, ніж те, що має бути в наявному запасі токенів… ви знаєте, що щось відбувається. Якщо не змусити людей негайно реагувати на виклик, можливо, навіть автоматизувати деякі способи, за допомогою яких ви можете негайно зрізати деякі з виїзних пандусів… або змусити ваші валідатори бути готовими до відповіді та, можливо, навіть проводити з ними вправи.

Брусок: Що є ключовим для операторів, коли вони прагнуть усунути ризики безпеки в майбутньому? 

Lewellen: Я думаю, що ми станемо трохи чеснішими щодо ролі різних операторів і протоколів, а також щодо адміністративних повноважень. 

З блокчейном Ethereum спосіб, яким Binance Chain відповів, був би неможливим для Ethereum, але Ethereum також створює очікування, що ланцюжок не втрутиться і не врятує вас.

Якщо ви збираєтеся мати такий підхід, коли у вас є мережа, де люди можуть реагувати, або прийміть його, або відійдіть від нього. Бути або повністю децентралізованою, або достатньо централізованою, щоб нести відповідальність за реагування на інциденти безпеки. Повністю візьміть участь у цій ролі, намагаючись бути якомога більш підготовленим і повідомляючи операторам вузлів вашої мережі, що це буде їхньою відповідальністю.

Це інтерв'ю було відредаговане для наочності та стислості.

Відвідайте DAS: ЛОНДОН і почуйте, як найбільші TradFi та криптоінституції бачать майбутнє інституційного впровадження криптовалюти. зареєструватися тут.