Брыдж хакі пастаянна ў навінах. Падтрымліваць бяспеку, мы павінны падтрымліваць здаровае пачуццё параноі, кажа Джон Шатт ў Праз пратакол.
За апошні год адбываліся рэгулярныя, паспяховыя і разбуральныя атакі, накіраваныя на папярочныя ланцуговыя масты. Яны прывялі да масіўны сумы выкрадзеных актываў.
Гэтая тэндэнцыя выяўляе неабходнасць узмацнення кантролю і разважанняў, накіраваных на тое, як блокчейн-масты забяспечваюцца і абараняюцца.
Самым апошнім загалоўкам стала выкарыстанне моста Роніна Axie Infinity, якое прынесла больш за 600 мільёнаў долараў Эфириума і USDC скрадзены зламыснікамі.
Злачынства адбылося 23 сакавіка, але на выкрыццё крадзяжу спатрэбілася больш за тыдзень. Распрацоўшчыкі Ronin у рэшце рэшт выявілі, што зламыснік выкарыстаў скампраметаваныя закрытыя ключы для падробленых зняцця сродкаў і спустошыў сродкі з моста Ronin у пары транзакцый.
Гэты эксплойт з'яўляецца разбуральным крадзяжом, які мае велізарныя наступствы для законных уладальнікаў гэтых актываў. Але гэта таксама мае наступствы для крыпта і Defi галіны ў цэлым. Асабліва тыя, хто засяроджаны на пратаколах перамыкання актываў і імкнецца ўмацаваць бяспеку, умацаваць давер і палепшыць функцыянальнасць.
Тут ёсць некалькі ўрокаў.
Нікому не давярайце, тым больш сабе
Калі справа даходзіць да бяспекі моста або любой формы бяспекі пратаколу, вельмі важна мець сістэму, якая дэцэнтралізуе давер і маніторынг.
Каб зрабіць гэта, мы павінны падтрымліваць здаровае пачуццё параноі. Гэтая параноя ў спалучэнні з безадмоўнымі сістэмамі і тэхнічным вопытам прывядзе да стварэння надзейнай сістэмы маніторынгу бяспекі. Гэта ўключае ў сябе абвесткі, якія прымусяць патрэбных людзей падымацца з ложка сярод ночы, калі нешта пойдзе не так або здаецца, што пайшло не так.
Мы павінны ствараць сістэмы, якія нават не патрабуюць, каб мы дзейнічалі як надзейныя, калі нашы ўласныя кропкі доступу будуць скампраметаваныя. Вы можаце думаць пра гэта як пра меру засцярогі «Джэкіла і Хайда», дзе вы будуеце сістэму, якая здольная вытрымаць вашу спробу зламаць яе, калі вы цалкам зменіце бок.
Bridge Hacks: Мець скарачэнні на месцы
Моцныя сістэмы маніторынгу павінны аб'ядноўваць распрацаваныя боты і ўзроўні кантролю, якія працуюць з дапамогай чалавека. Усё, што будуе каманда інжынераў, павінна распрацоўвацца сумесна з ботамі, якія выконваюць аўтаматызаваны маніторынг. Але спадзявацца на гэтых ботаў недастаткова. Боты могуць пацярпець няўдачу.
Паслугі маніторынгу трэціх асоб, якія могуць папярэджваць каманду інжынераў аб праблемах, парушэннях або абвестках, таксама з'яўляюцца каштоўным узроўнем бяспекі.
Важны дадатковы ўзровень бяспекі і дазволу спрэчак можа быць распрацаваны з дапамогай an аптымістычны аракул (OO).
Напрыклад, OO UMA дапамагае абараніць папярок, пратакол моста актываў, які забяспечвае стымулы для рэтранслятараў для прасоўвання грашовых пераводаў для карыстальнікаў.
Гэтыя рэтранслятары пагашаюцца з пулу ліквіднасці на працягу дзвюх гадзін. Транзакцыі застрахаваны з дапамогай OO, які дзейнічае як пласт вырашэння спрэчак. OO правярае і пацвярджае ўсе кантракты паміж карыстальнікам, які пераводзіць сродкі, і страхоўшчыкам, які атрымлівае плату.
OO функцыянуе як «машына праўды» і кіруецца супольнасцю людзей, якія забяспечваюць праверку і дазвол дадзеных у рэальным свеце ў рэдкіх выпадках спрэчак.
Свідруйце, трэніруйцеся і рыхтуйцеся
Лепшыя сістэмы бяспекі ў свеце заўсёды будуць змагацца з інавацыйнымі і стратэгічнымі атакамі. Зламыснікі паказалі сваю здольнасць і жаданне заставацца ў нагу з інавацыямі. Гэта гонка ўзбраенняў.
Вось чаму вельмі важна правільна і энергічна правяраць вашыя пратаколы бяспекі, каб пераканацца, што ім можна давяраць, калі гэта неабходна.
Ёсць некалькі спосабаў зрабіць гэта.
Падумайце аб тым, каб у вашай арганізацыі быў пункт сустрэчы ў крызісных сітуацыях. Думайце пра гэта як пра вялікую чырвоную кнопку, якую хто-небудзь - кожны - можа націснуць. Гэта можа гарантаваць, што патрэбныя людзі атрымаюць адпаведнае папярэджанне - нават калі гэта папераджальна.
Bridge Hacks: тэставанне
Аднак адзіны спосаб пераканацца, што сістэма функцыянуе, гэта праверыць яе. Вось чаму наяўнасць свердзелаў вельмі важна. Магчыма, у ключавога члена каманды няправільна наладжана сістэма абвесткі або зламаўся пэўны трыгер. Рэгулярныя, нечаканыя вучэнні - выдатны спосаб пераканацца, што сістэма (і людзі ў камандзе) рэагуюць правільным чынам і ў патрэбны час.
Нарэшце, неабходна развіваць свой падыход да бяспекі па меры змены або пашырэння профілю рызыкі вашага пратакола.
Чым больш вы, тым цяжэй вам будзе ўпасці. Такім чынам, вельмі важна развіваць настрой бяспекі, які расце па меры сталення вашай арганізацыі або супольнасці. Такое мысленне будзе падтрымліваць здаровае пачуццё параноі, а таксама ствараць і падтрымліваць пратаколы, якія яго падтрымліваюць.
пра аўтара
Джон Шатт з'яўляецца інжынерам смарт-кантрактаў у UMA і сузаснавальнікам кампаніі Праз пратакол, бяспечны і дэцэнтралізаваны перакрыжаваны мост. Больш за дзесяць гадоў ён працуе над криптовалютой і сістэмамі зашыфраваных паведамленняў.
Ёсць пра што сказаць маставыя хакі ці што-небудзь яшчэ? напісаць нам або далучайцеся да абмеркавання ў нашай Telegram канал. Вы таксама можаце злавіць нас Цік Ток, Facebookабо Twitter.
адмова
Уся інфармацыя, размешчаная на нашым сайце, публікуецца добрасумленна і мае толькі агульны інфармацыйны характар. Любыя дзеянні, якія чытач ужывае з інфармацыяй, размешчанай на нашым сайце, строга на свой страх і рызыка.
Крыніца: https://beincrypto.com/bridge-hacks-prevent-them-by-trusting-nobody-not-even-yourself/