Sau khi những kẻ tấn công khai thác Chuỗi BNB của Binance và rút 2 triệu BNB, có lẽ ngành công nghiệp crypto lại một lần nữa vật lộn với các câu hỏi về phân cấp, phản ứng với các sự cố bảo mật và sự phổ biến của các vụ hack.
Michael Lewellen, người đứng đầu kiến trúc giải pháp tại công ty bảo mật blockchain OpenZeppelin cho biết : “BNB Chain cho biết trong một tuyên bố hôm thứ Sáu rằng việc khai thác mới nhất đã ảnh hưởng đến BSC Token Hub – cầu nối xuyên chuỗi gốc giữa BNB Beacon Chain và BNB Smart Chain”.
Đơn vị phân tích chuỗi khối Chainalysis đã ước tính vào tháng 8 rằng lượng crypto trị giá 2 tỷ USD đã bị đánh cắp qua 13 vụ hack cầu xuyên chuỗi gần đây. Công ty cho biết vào thời điểm đó, các cuộc tấn công vào các bridge chiếm 69% tổng số tiền bị đánh cắp trong năm nay.
“Các chuỗi phi tập trung không được thiết kế để dừng lại, nhưng bằng cách liên hệ với từng người xác thực cộng đồng, chúng tôi có thể ngăn sự cố lan rộng”, đại diện BNB Chain cho biết trong một tuyên bố vào ngày 7/10.
Mạng lưới thông minh của BNB có 26 trình xác thực đang hoạt động, đồng thời cho biết thêm rằng họ đang tìm cách mở rộng các trình xác thực để tăng cường tính phân cấp hơn nữa .
Mặc dù BNB Chain đã báo cáo “phần lớn các quỹ vẫn nằm trong tầm kiểm soát”, một người phát ngôn đã không trả lời ngay lập tức yêu cầu bình luận thêm.
“Vụ hack mới nhất có khả năng thúc đẩy các nhà khai thác giải quyết việc thiếu phản ứng tự động đối với các sự cố bảo mật trong không gian crypto”, Lewellen nói với Blockworks.
Được thành lập vào năm 2015, OpenZeppelin có một nền tảng cho phép người dùng quản lý quản trị hợp đồng thông minh, chẳng hạn như kiểm soát truy cập, nâng cấp và tạm dừng. Công ty bảo vệ hàng chục tỷ USD tiền quỹ cho các tổ chức như Coinbase và Ethereum Foundation.
Để nắm rõ hơn, hãy đọc các đoạn trích từ cuộc phỏng vấn của Blockworks với Lewellen sau vụ hack.
Blockworks: Bạn nghĩ gì về vụ hack mới nhất này trên BNB Chain?
Lewellen: Đây thực sự là một điều kỳ lạ, vì đây là một lỗi trong một hợp đồng thông minh được biên dịch trước. Với Binance Chain, họ chỉ thêm rất nhiều tính năng vào giao thức gốc để hỗ trợ các hợp đồng thông minh và đó là nơi mà lỗi đã xuất hiện. Vì vậy, tôi nghĩ cần có câu hỏi về việc liệu những loại thay đổi này có nên xảy ra trên giao thức gốc. Có lẽ nó nên được chứa trong một hợp đồng thông minh và được giữ bên ngoài phạm vi của giao thức gốc vì những thứ này rất rủi ro.
Chúng tôi không biết lỗi xuất hiện bên trong giao thức hoặc nguồn gốc của nó như thế nào. Nhưng mã ở đâu – và mức độ an toàn của các đoạn mã tùy thuộc vào lớp nào của chúng.
Những chuỗi và bridge này làm phức tạp thêm điều đó. Nó không còn là một hệ thống phân cấp rõ ràng nữa. Hiện tại có rất nhiều lớp khác nhau đang diễn ra song song mà mọi người cần phải có ý thức tự bảo vệ hơn rất nhiều.
Blockworks: Làm thế nào để phản ứng với vụ hack này tốt hơn?
Lewellen: Mặc dù tôi nghĩ rằng các nhà phát triển của Binance đã phản ứng khá tốt lần này, nhưng có một câu hỏi lớn hơn là… đây có thực sự là điều tốt nhất nên thực hiện.
Tôi không thể nói với cộng đồng trình xác nhận chuỗi Binance làm gì hoặc chỉ họ cách điều phối hoặc thực hành những thứ này… nhưng rõ ràng là họ đã thực hành nó một lần ngay bây giờ.
Tôi đang nói với tư cách là một người từ bên ngoài, khi thấy các dự án DeFi khác đáp ứng điều này với tư cách là khách hàng của họ, tôi nghĩ những nhà sáng lập cần phải làm việc chăm chỉ hơn nữa để ứng phó kịp với các sự cố bảo mật.
Dù với bất kỳ vai trò gì, họ đều cần chuẩn bị kỹ càng để ứng phó với các vụ hack. Cho dù có hoặc không sử dụng nósự chuẩn bị này đều rất cần thiết trong tương lai và chúng ta có thể học hỏi được nhiều điều từ điều này.
Blockworks: Bạn hãy cho một ví dụ nào về phản ứng tức thì tự động hiệu quả đối với một vụ hack không?
Lewellen: Chúng tôi vẫn đang trong giai đoạn đầu. Tôi nghĩ rằng chúng ta đang thấy các đội ngày càng phát hiện ra mọi thứ và phản ứng tốt hơn, nhưng thành thật mà nói thì những vụ hack này đã xảy ra trên các cầu nối mà tôi không nghĩ là đã đạt được mức độ thẩm định đủ tốt để tránh hoàn toàn các vụ hack như vậy.
Chúng tôi đã thực hiện các mô phỏng tại OpenZeppelin để biết rằng các biện pháp có khả thi không và chúng tôi đã xây dựng các công cụ để giải quyết vấn đề đó. Tôi nghĩ những đội chuẩn bị tốt nhất có thể là những đội ít bị hack nhất ngay từ đầu. Và đương nhiên, những người bị hack nhiều nhất sẽ là những người mà tôi nghĩ là không chuẩn bị hoặc chuẩn bị ít nhất.
Blockworks: Nên sử dụng các loại công cụ hoặc phương pháp nào để nhanh chóng chống lại các cuộc tấn công?
Lewellen: Điều [nhà khai thác] thực sự cần là thứ gì đó cung cấp cho họ thông báo ngay lập tức, hoặc về cơ bản là thứ đang theo dõi mọi thứ trên chuỗi… phân tích thông tin và sau đó xác định, “có bất kỳ rủi ro nào ở đây không?”
Nếu một lượng lớn tiền được chuyển đi, nó có thể ổn và là một phần của hoạt động hàng ngày, nhưng nếu nó vượt ra ngoài tiêu chuẩn… thì công cụ theo dõi phải thông báo ngay lập tức về điều đó.
Bạn cần công cụ phát hiện nhiều hơn những điều không bao giờ nên xảy ra, chẳng hạn như tiền chuyển ra khỏi kho tài sản bị khóa hoặc nguồn cung token bỗng nhiên cao đột biến hơn những gì nên có, … thì bạn biết điều gì đó đang xảy ra.
Blockworks: Chìa khóa cho các nhà khai thác khi họ tìm cách giải quyết các rủi ro bảo mật trong tương lai?
Lewellen: Tôi nghĩ rằng nó sẽ trở nên trung thực hơn một chút với vai trò của các nhà khai thác và giao thức khác nhau cũng như quyền hạn quản lý là gì.
Với chuỗi khối Ethereum, cách mà Binance Chain phản hồi sẽ không thể thực hiện được đối với Ethereum, nhưng điều này cũngkhông có nghĩa rằng các nhà phát triển chuỗi sẽ bước vào và cứu bạn.
Nếu bạn định có cách tiếp cận như vậy, trong đó bạn có một mạng lưới nơi mọi người có thể phản hồi, hãy nắm lấy nó hoặc tránh xa nó. Hoặc được phân cấp hoàn toàn hoặc đủ tập trung để có trách nhiệm ứng phó với các sự cố bảo mật. Thực hiện đầy đủ vai trò bằng cách cố gắng chuẩn bị kỹ càng nhất có thể và nói với các nhà khai thác nút cho mạng của bạn rằng đây sẽ là trách nhiệm của họ.
Bài phỏng vấn này đã được chỉnh sửa cho rõ ràng và ngắn gọn.
Nguồn: Blockworks
