Sau vụ hack chuỗi BNB, các nhà khai thác phải đối mặt với câu hỏi về phân cấp

Theo dõi những kẻ tấn công khai thác Chuỗi BNB của Binance và rút 2 triệu BNB, ngành công nghiệp tiền điện tử hiện đang vật lộn với các câu hỏi về phân quyền, ứng phó với các sự cố bảo mật và sự phổ biến của các vụ hack.

Michael Lewellen, người đứng đầu kiến ​​trúc giải pháp tại công ty bảo mật chuỗi khối, cho biết: mởZeppelin.

BNB Chain cho biết trong một tuyên bố thứ sáu rằng việc khai thác mới nhất đã ảnh hưởng đến BSC Token Hub - cầu nối xuyên chuỗi gốc giữa BNB Beacon Chain và BNB Smart Chain.

Đơn vị phân tích chuỗi khối Chainalysis ước tính vào tháng Tám số tiền điện tử trị giá 2 tỷ đô la đó đã bị đánh cắp qua 13 vụ hack cầu xuyên chuỗi. Công ty cho biết vào thời điểm đó, các cuộc tấn công vào các cây cầu chiếm 69% tổng số tiền bị đánh cắp trong năm nay.

“Các chuỗi phi tập trung không được thiết kế để dừng lại, nhưng bằng cách liên hệ với từng người xác thực cộng đồng, chúng tôi có thể ngăn sự cố lan rộng,” BNB Chain cho biết trong một tuyên bố hôm thứ Sáu.

Mạng thông minh BNB có 26 trình xác thực đang hoạt động và tổng cộng 44 trình xác thực, mạng lưới cho biết thêm rằng họ tìm cách mở rộng trình xác thực để tăng phân quyền hơn nữa.

Mặc dù BNB Chain đã báo cáo "phần lớn các quỹ vẫn nằm trong tầm kiểm soát", một người phát ngôn đã không trả lời ngay lập tức yêu cầu bình luận thêm. 

Vụ hack mới nhất có khả năng thúc đẩy các nhà khai thác giải quyết việc thiếu phản ứng tự động đối với các sự cố bảo mật trong không gian tiền điện tử, Lewellen nói với Blockworks. 

Được thành lập vào năm 2015, OpenZeppelin có một nền tảng cho phép người dùng quản lý quản trị hợp đồng thông minh, chẳng hạn như kiểm soát truy cập, nâng cấp và tạm dừng. Công ty bảo vệ hàng chục tỷ đô la tiền quỹ cho các tổ chức như Coinbase và Ethereum Foundation.

Hãy tiếp tục đọc các đoạn trích từ cuộc phỏng vấn của Blockworks với Lewellen sau vụ hack.

Công trình khối: Bạn nghĩ gì về vụ hack mới nhất này trên Chuỗi BNB?

Lewellen: Đây thực sự là một điều kỳ lạ, vì đây là một lỗi nằm trong một hợp đồng thông minh được biên dịch trước.

Với Binance Chain, họ chỉ thêm rất nhiều tính năng vào giao thức gốc để hỗ trợ các hợp đồng thông minh, và đó là nơi mà lỗi đã xuất hiện. Vì vậy, tôi nghĩ cần có một câu hỏi về việc liệu những loại thay đổi này có nên xảy ra giao thức gốc. Có lẽ nó nên được chứa trong một hợp đồng thông minh và được giữ bên ngoài phạm vi của giao thức vì những thứ này rất rủi ro.

Chúng tôi không biết lỗi xuất hiện bên trong giao thức hoặc nguồn gốc của nó như thế nào. Nhưng mã ở đâu - và mức độ an toàn của các đoạn mã tùy thuộc vào lớp nào của chúng - cần phải tốt hơn.

Những chuỗi và cầu bằng chứng quyền lực này làm phức tạp thêm điều đó. Nó không còn là một hệ thống phân cấp rõ ràng nữa. Hiện tại có rất nhiều lớp khác nhau đang diễn ra song song mà mọi người cần phải có ý thức hơn rất nhiều.   

Công trình khối: Làm thế nào để phản ứng với vụ hack này tốt hơn?

Lewellen: Mặc dù tôi nghĩ rằng họ đã phản ứng tốt ở đây, nhưng có một câu hỏi lớn hơn là… đây có thực sự là điều tốt nhất có thể được thực hiện nếu vai trò đó được chấp nhận hay không.

Tôi không thể nói với cộng đồng trình xác nhận chuỗi Binance làm gì hoặc cách họ điều phối hoặc thực hành những thứ này… nhưng rõ ràng là họ đã thực hành nó một lần ngay bây giờ.

Tôi đang nói với tư cách là một người từ bên ngoài, nhưng khi thấy các dự án DeFi khác đáp ứng điều này với tư cách là khách hàng của họ, tôi nghĩ có thể cần phải siêng năng hơn nhiều và nắm lấy vai trò của một người có khả năng ứng phó với các sự cố bảo mật. 

Và nếu họ không có vai trò, họ chỉ cần chuẩn bị kỹ càng về điều đó. Cho dù có do dự khi sử dụng nó trong một số trường hợp và có thể không trong những trường hợp khác, thì hiện tại rõ ràng là nó đang tồn tại và tôi nghĩ rằng nó có thể được thực hiện tốt hơn trong tương lai nếu chúng ta học hỏi được nhiều điều từ điều này.   

Công trình khối: Bạn có thể chỉ ra bất kỳ ví dụ nào về phản ứng tức thì tự động hiệu quả đối với một cuộc tấn công không?

Lewellen: Chúng tôi vẫn đang trong giai đoạn đầu. Tôi nghĩ rằng chúng ta đang thấy các đội ngày càng phát hiện ra mọi thứ và phản ứng tốt hơn, nhưng thành thật mà nói thì những vụ hack này đã xảy ra trên những cầu nối mà tôi không nghĩ rằng đã đạt được mức độ thẩm định tương tự.

Tôi không nghĩ rằng chúng ta đã thấy một trường hợp tốt cho điều đó. Chúng tôi biết điều đó là có thể, chúng tôi đã thực hiện các mô phỏng tại OpenZeppelin để biết rằng nó khả thi và chúng tôi đã xây dựng các công cụ để giải quyết vấn đề đó. Nhưng trớ trêu thay, tôi nghĩ những đội chuẩn bị tốt nhất có thể là những đội ít bị hack nhất ngay từ đầu.

Những người bị hack nhiều nhất cũng là những người mà tôi nghĩ là ít chuẩn bị bị hack nhất.

Công trình khối: Những loại công cụ hoặc phương pháp nào nên được sử dụng để nhanh chóng chống lại các cuộc tấn công?  

Lewellen: Những gì [nhà khai thác] thực sự cần là thứ gì đó cung cấp cho bạn thông báo ngay lập tức, hoặc về cơ bản là thứ đang theo dõi mọi thứ trên chuỗi… phân tích nó và sau đó xác định, “có bất kỳ rủi ro nào ở đây không?”

Nếu một lượng lớn tiền được chuyển đi, nó có thể ổn và là một phần của hoạt động hàng ngày, nhưng nếu nó vượt ra ngoài tiêu chuẩn… [điều quan trọng là phải] thông báo ngay lập tức về điều đó.

Nếu bạn có thể đi xa hơn và phát hiện ra những điều không bao giờ nên xảy ra, chẳng hạn như tiền chuyển ra khỏi kho cần bị khóa hoặc nhiều mã thông báo hơn những gì nên có trong nguồn cung cấp mã thông báo hiện có… bạn biết điều gì đó đang xảy ra. Nếu không thu hút được mọi người ngay lập tức để phản hồi, thậm chí có thể tự động hóa một số cách mà bạn có thể ngay lập tức cắt giảm một số đoạn đường thoát… hoặc yêu cầu trình xác nhận của bạn sẵn sàng phản hồi và thậm chí có thể thực hiện các cuộc tập trận với họ.

Công trình khối: Chìa khóa cho các nhà khai thác khi họ tìm cách giải quyết các rủi ro bảo mật trong tương lai là gì? 

Lewellen: Tôi nghĩ rằng nó sẽ trở nên trung thực hơn một chút với vai trò của các nhà khai thác và giao thức khác nhau cũng như quyền hạn quản trị là gì. 

Với chuỗi khối Ethereum, cách mà Binance Chain phản hồi sẽ không thể thực hiện được đối với Ethereum, nhưng Ethereum cũng tạo ra kỳ vọng rằng chuỗi này sẽ không bước vào và cứu bạn.

Nếu bạn định có cách tiếp cận như vậy, trong đó bạn có một mạng lưới nơi mọi người có thể phản hồi, hãy nắm lấy nó hoặc tránh xa nó. Có thể được phân cấp hoàn toàn hoặc đủ tập trung để có trách nhiệm ứng phó với các sự cố bảo mật. Hãy hoàn thành vai trò của mình bằng cách cố gắng chuẩn bị kỹ càng nhất có thể và nói với các nhà khai thác nút cho mạng của bạn rằng đây sẽ là trách nhiệm của họ.

Cuộc phỏng vấn này đã được chỉnh sửa cho rõ ràng và ngắn gọn.

Tham dự DAS: LONDON và nghe cách các tổ chức TradFi và tiền điện tử lớn nhất nhìn thấy tương lai của việc áp dụng tổ chức tiền điện tử. Đăng ký tại đây.