cadena de bloques
Después de que los atacantes explotaran la cadena BNB de Binance y retiraran 2 millones de BNB, la industria de la criptografía ahora está lidiando con cuestiones de descentralización, respuestas a incidentes de seguridad y la prevalencia de ataques.
Los operadores y los protocolos en el espacio deben optar por descentralizarse por completo o estar mejor preparados para responder a los ataques, dijo Michael Lewellen, jefe de arquitectura de soluciones de la firma de seguridad blockchain OpenZeppelin.
BNB Chain dijo en un comunicado el viernes que el último exploit afectó a BSC Token Hub, el puente de cadena cruzada nativo entre BNB Beacon Chain y BNB Smart Chain.
La unidad de análisis de blockchain, Chainalysis, estimó en agosto que se habían robado $ 2 mil millones en criptografía en 13 hacks de puentes entre cadenas. Los ataques a puentes representaron el 69% del total de los fondos robados este año, dijo la compañía en ese momento.
“Las cadenas descentralizadas no están diseñadas para ser detenidas, pero al contactar a los validadores de la comunidad uno por uno, pudimos detener la propagación del incidente”, dijo BNB Chain en un comunicado el viernes.
BNB Smart Chain tiene 26 validadores activos y 44 en total, afirmó la red, y agregó que busca expandir los validadores para impulsar una mayor descentralización.
Aunque BNB Chain informó que “la gran mayoría de los fondos permanecen bajo control”, un portavoz no respondió de inmediato a una solicitud de más comentarios.
Es probable que el último ataque aliente a los operadores a abordar la falta de respuesta automatizada a los incidentes de seguridad en el espacio criptográfico, dijo Lewellen a Blockworks.
Fundada en 2015, OpenZeppelin tiene una plataforma que permite a los usuarios administrar la administración de contratos inteligentes, como controles de acceso, actualizaciones y pausas. La empresa protege decenas de miles de millones de dólares en fondos para organizaciones como Coinbase y la Fundación Ethereum.
Siga leyendo para obtener extractos de la entrevista de Blockworks con Lewellen después del ataque.
Bloques: ¿Qué opinas de este último truco en la cadena BNB?
Leyenda: En realidad, esto es un poco extraño, ya que se trata de un error que estaba en un contrato inteligente precompilado.
Con Binance Chain, solo estaban agregando muchas funciones al protocolo nativo para admitir contratos inteligentes, y ahí es donde terminó apareciendo el error. Así que creo que debe haber una pregunta sobre si este tipo de cambios deberían estar en un protocolo nativo. Tal vez debería estar contenido dentro de un contrato inteligente y mantenerse fuera del alcance del protocolo porque estas cosas son riesgosas.
No sabemos cómo apareció el error dentro del protocolo o su fuente original. Pero dónde está el código, y el nivel de seguridad que tienen las piezas de código según la capa en la que se encuentren, debe mejorar.
Estas cadenas y puentes de prueba de autoridad complican eso. Ya no es una jerarquía clara. Ahora hay muchas capas diferentes sucediendo en paralelo de las que las personas deben ser mucho más conscientes.
Bloques: ¿Cómo podría haber sido mejor la respuesta a este truco?
Leyenda: Si bien creo que respondieron bien en general aquí, hay una pregunta más amplia de… ¿es esto realmente lo mejor que se podría hacer si se aceptara ese papel?
No puedo hablar sobre lo que hace la comunidad de validadores de Binance Chain o cómo coordinan o practican para este tipo de cosas… pero obviamente lo han practicado una vez ahora.
Hablo como alguien externo, pero al ver que otros proyectos DeFi responden a esto como su cliente, creo que podría haber mucha más diligencia y aceptar el papel de alguien que tiene la capacidad de responder a incidentes de seguridad.
Y si no tienen el papel, solo necesitan ser muy directos con eso. Ya sea que haya dudas para utilizarlo en algunos casos y tal vez no en otros, en este momento obviamente existe y creo que podría mejorarse en el futuro si aprendemos mucho de esto.
Bloques: ¿Puede señalar algún ejemplo de una respuesta instantánea automatizada eficaz a un hackeo?
Leyenda: Todavía estamos en las primeras etapas. Creo que estamos viendo equipos que están mejorando en la detección de cosas y en la respuesta, pero creo que, sinceramente, estos ataques han estado ocurriendo en puentes que no creo que hayan adoptado el mismo nivel de diligencia debida.
No creo que hayamos visto un buen caso para eso. Sabemos que es posible, hemos realizado simulaciones en OpenZeppelin para saber que es factible y hemos creado herramientas para solucionarlo. Pero, irónicamente, creo que los equipos mejor preparados para eso podrían ser los equipos menos susceptibles de ser pirateados en primer lugar.
Las personas que más están siendo pirateadas también son las que creo que están menos preparadas para ser pirateadas.
Bloques: ¿Qué tipo de herramientas o prácticas se deben usar para defenderse rápidamente contra los ataques?
Leyenda: Qué [operators] lo que realmente necesita es algo que le brinde una notificación inmediata, o básicamente algo que esté observando todo en la cadena… analizándolo y luego determinando, “¿hubo algún riesgo expuesto aquí?”
Si se mueven grandes cantidades de fondos, probablemente esté bien y sea parte de las operaciones diarias, pero si se sale de la norma…[it’s important to have] notificación inmediata de ello.
Si puede ir más allá y detectar cosas que nunca deberían ocurrir, como dinero saliendo de una bóveda que debería estar cerrada con llave o más fichas de las que debería haber en el suministro de fichas existente… sabrá que algo está sucediendo. Si no logra que las personas respondan de inmediato, tal vez incluso automatizando algunas de las formas en que podría cortar de inmediato algunas de las rampas de salida… o hacer que sus validadores estén listos para responder y tal vez incluso hacer simulacros con ellos.
Bloques: ¿Cuál es la clave para los operadores cuando buscan abordar los riesgos de seguridad en el futuro?
Leyenda: Creo que se volverá un poco más honesto con el papel de los diferentes operadores y protocolos y cuáles son los poderes administrativos.
Con la cadena de bloques de Ethereum, la forma en que respondió Binance Chain no habría sido posible para Ethereum, pero Ethereum también crea esta expectativa de que la cadena no va a intervenir para salvarlo.
Si va a tener ese tipo de enfoque donde tiene una red donde las personas pueden responder, acéptelo o aléjese de él. Estar completamente descentralizado o lo suficientemente centralizado para tener la responsabilidad de responder a los incidentes de seguridad. Acepte el rol por completo tratando de estar lo más preparado posible y diciéndoles a los operadores de nodos de su red que esta será su responsabilidad.
Esta entrevista ha sido editada para mayor claridad y brevedad.