Po BNB Chain Hack musí operátoři čelit otázce decentralizace

Sledování útočníků využívající BNB Chain společnosti Binance a stažením 2 milionů BNB se kryptoprůmysl nyní potýká s otázkami decentralizace, reakcí na bezpečnostní incidenty a rozšířením hacků.

Operátoři a protokoly v prostoru se musí rozhodnout, zda se stanou plně decentralizovanými nebo budou lépe připraveni reagovat na hacky, řekl Michael Lewellen, vedoucí architektury řešení v bezpečnostní firmě blockchain. Otevřete Zeppelin.

Řekl BNB Chain v pátečním prohlášení že nejnovější exploit ovlivnil BSC Token Hub – nativní cross-chain most mezi BNB Beacon Chain a BNB Smart Chain.

Blockchain analytická jednotka Chainalysis odhadnuta v srpnu že kryptoměny v hodnotě 2 miliard dolarů byly ukradeny prostřednictvím 13 cross-chain bridge hacků. Útoky na mosty letos tvořily 69 % z celkových ukradených finančních prostředků, uvedla tehdy společnost.

"Decentralizované řetězce nejsou navrženy tak, aby byly zastaveny, ale tím, že jsme jednoho po druhém kontaktovali komunitní validátory, dokázali jsme zastavit šíření incidentu," uvedl BNB Chain v pátečním prohlášení.

BNB Smart Chain má 26 aktivních validátorů a celkem 44, uvedla síť a dodala, že se snaží rozšířit validátory, aby posílily další decentralizace.

Přestože BNB Chain uvedl, že „převážná většina fondů zůstává pod kontrolou“, mluvčí okamžitě nevrátil žádost o další komentář. 

Nejnovější hack pravděpodobně podnítí operátory, aby řešili nedostatek automatizované reakce na bezpečnostní incidenty v kryptoprostoru, řekl Lewellen Blockworks. 

OpenZeppelin, založená v roce 2015, má platformu, která uživatelům umožňuje spravovat inteligentní správu smluv, jako je řízení přístupu, upgrady a pozastavení. Společnost chrání desítky miliard dolarů ve fondech pro organizace, jako je Coinbase a Ethereum Foundation.

Pokračujte ve čtení úryvků z rozhovoru Blockworks s Lewellenem po hacku.

Bloky: Co říkáte na tento nejnovější hack na BNB Chain?

Lewellen: To je vlastně trochu divné, protože se jedná o chybu, která byla v předem zkompilované chytré smlouvě.

S Binance Chain právě přidávali spoustu funkcí do nativního protokolu pro podporu chytrých kontraktů, a tam se nakonec objevila chyba. Takže si myslím, že je třeba si položit otázku, zda by tyto druhy změn měly být v nativní protokol. Možná by to mělo být obsaženo v chytré smlouvě a drženo mimo rozsah protokolu, protože tyto věci jsou riskantní.

Nevíme, jak se chyba objevila uvnitř protokolu nebo její původní zdroj. Ale tam, kde je kód – a úroveň bezpečnosti, kterou části kódu mají v závislosti na tom, v jaké vrstvě se nacházejí – musí být lepší.

Tyto řetězy a mosty dokazování to trochu komplikují. Už to není jasná hierarchie. Nyní se paralelně odehrává mnoho různých vrstev, kterých si lidé musí být mnohem více vědomi.   

Bloky: Jak mohla být reakce na tento hack lepší?

Lewellen: I když si myslím, že zde reagovali celkově dobře, je tu větší otázka... bylo to opravdu to nejlepší, co by se dalo udělat, kdyby byla tato role přijata.

Nemohu mluvit o tom, co dělá komunita validátorů Binance Chain nebo jak koordinují nebo praktikují tyto druhy věcí...ale evidentně to už jednou praktikovali.

Mluvím jako někdo zvenčí, ale když vidím, že na to ostatní projekty DeFi reagují jako jejich klienti, myslím, že by tam mohlo být mnohem více píle a přijetí role někoho, kdo má schopnost reagovat na bezpečnostní incidenty. 

A pokud tu roli nemají, musí s tím být velmi upřímní. Ať už v některých případech váhate, zda ji použít, a v jiných možná ne, právě teď zjevně existuje a myslím, že by se to v budoucnu dalo udělat lépe, pokud se z toho hodně poučíme.   

Bloky: Můžete uvést nějaké příklady efektivní automatické okamžité reakce na hack?

Lewellen: Jsme stále v rané fázi. Myslím, že vidíme týmy, které se zlepšují v odhalování věcí a reakcích, ale upřímně si myslím, že k těmto hackům docházelo na mostech, o kterých si nemyslím, že by využívaly stejnou úroveň náležité péče.

Nemyslím si, že jsme pro to viděli dobrý případ. Víme, že je to možné, provedli jsme simulace v OpenZeppelin, abychom věděli, že je to proveditelné, a vytvořili jsme nástroje, které to řeší. Ale ironicky si myslím, že nejlépe připravené týmy na to mohou být týmy, které jsou nejméně náchylné k hacknutí.

Lidé, kteří jsou hackováni nejvíce, jsou také ti, o kterých si myslím, že jsou nejméně připraveni být hackováni.

Bloky: Jaké druhy nástrojů nebo postupů by měly být použity k rychlé obraně proti hackerům?  

Lewellen: To, co [operátoři] skutečně potřebují, je něco, co vám dá okamžitou notifikaci, nebo v podstatě něco, co vše sleduje v řetězci… analyzuje to a pak určí, „byla zde vystavena nějaká rizika?“

Pokud se přesouvají velké částky finančních prostředků, je to pravděpodobně v pořádku a je to součást každodenních operací, ale pokud to vypadne z normy…[je důležité mít] na to okamžité upozornění.

Pokud můžete zajít dále a odhalit věci, které by se nikdy neměly stát, jako například přesun peněz z trezoru, který by měl být uzamčen, nebo více žetonů, než kolik by mělo být v existující zásobě tokenů, víte, že se něco děje. Pokud nepřinutíte lidi, aby okamžitě zavolali, aby odpověděli, možná dokonce automatizujete některé ze způsobů, jak můžete okamžitě zkrátit některé z výjezdových ramp… nebo zajistit, aby vaše validátory byly připraveny reagovat, a možná s nimi dokonce provádět cvičení.

Bloky: Co je pro operátory klíčové, když se do budoucna snaží řešit bezpečnostní rizika? 

Lewellen: Myslím, že to bude trochu poctivější, co se týče role různých operátorů a protokolů a toho, jaké jsou administrativní pravomoci. 

S blockchainem Ethereum by způsob, jakým Binance Chain reagoval, pro Ethereum nebyl možný, ale Ethereum také vytváří toto očekávání, že řetězec nezasáhne a nezachrání vás.

Pokud budete mít takový přístup, kdy budete mít síť, kde mohou lidé reagovat, buď ji přijměte, nebo se od ní vzdálíte. Buď být plně decentralizovaný, nebo dostatečně centralizovaný, aby měl odpovědnost za reakci na bezpečnostní incidenty. Přijměte tuto roli plně tím, že se pokusíte být co nejlépe připraveni a řekněte operátorům uzlů pro vaši síť, že to bude jejich odpovědnost.

Tento rozhovor byl z důvodu srozumitelnosti a stručnosti upraven.

Zúčastnit se DAS: LONDÝN a poslechněte si, jak největší TradFi a krypto instituce vidí budoucnost institucionálního přijetí kryptoměn. Registrovat zde.