Взломы мостов постоянно в новостях. Поддерживать безопасность, мы должны поддерживать здоровое чувство паранойи, говорит Джон Шатт Через протокол.
В течение последнего года были регулярные, успешные и разрушительные атаки, направленные на межсетевые мосты. Они привели к массивный суммы украденных активов.
Эта тенденция свидетельствует о необходимости более пристального внимания и размышлений о том, как обеспечиваются и защищаются блокчейн-мосты.
Самым недавним заголовком стала эксплуатация моста Ronin компании Axie Infinity, в результате которой было получено более 600 миллионов долларов. Эфириум и USDC, украденный злоумышленниками.
Эксплойт был совершен 23 марта, однако на раскрытие кражи ушло больше недели. Разработчики Ronin в конечном итоге обнаружили, что злоумышленник использовал скомпрометированные закрытые ключи для фальшивых выводов средств и опустошил средства с моста Ronin за пару транзакций.
Этот эксплойт представляет собой разрушительную кражу, которая имеет огромные последствия для законных владельцев этих активов. Но также это имеет последствия для криптовалюты и Defi отрасль в целом. Особенно те, кто сосредоточен на протоколах моста активов и стремится усилить безопасность, укрепить доверие и улучшить функциональность.
Здесь есть несколько уроков.
Никому не доверяй, меньше всего себе
Когда дело доходит до безопасности моста или любой формы безопасности протокола, очень важно иметь систему, которая децентрализует доверие и мониторинг.
Для этого мы должны поддерживать здоровое чувство паранойи. Эта паранойя в сочетании с отказоустойчивыми системами и техническими знаниями приведет к созданию надежной системы мониторинга безопасности. Это включает в себя оповещения, которые поднимут нужных людей с постели посреди ночи, если что-то пойдет не так или может показаться, что что-то пошло не так.
Мы должны создавать системы, которые даже не требуют, чтобы мы действовали как заслуживающие доверия, если наши собственные точки доступа будут скомпрометированы. Вы можете думать об этом как о предосторожности «Джекилл и Хайд», когда вы строите систему, способную противостоять вашей попытке сломать ее, если вы полностью перейдете на другую сторону.
Взлом моста: Иметь резервы на месте
Надежные системы мониторинга должны сочетать в себе искусственных ботов и контрольные уровни с участием человека. Все, что создает команда инженеров, должно разрабатываться совместно с ботами, выполняющими автоматический мониторинг. Но недостаточно полагаться на этих ботов. Боты могут и терпят неудачу.
Сторонние службы мониторинга, которые могут оповещать группу инженеров о проблемах, нарушениях или предупреждениях, также являются ценным уровнем безопасности.
Важный дополнительный уровень безопасности и разрешения споров может быть разработан с оптимистичный оракул (ОО).
Например, OO UMA помогает защитить Через, протокол моста активов, который стимулирует ретрансляторов продвигать переводы средств для пользователей.
Эти ретрансляторы погашаются из пула ликвидности в течение двух часов. Транзакции страхуются с помощью ОО, выступающего в качестве уровня разрешения споров. ОО проверяет и подтверждает все контракты между пользователем, переводящим средства, и страховщиком, получающим комиссию.
ОО функционирует как «машина установления истины» и управляется сообществом людей, которые обеспечивают проверку и разрешение данных в реальном мире в редких случаях спора.
Тренируйтесь, тренируйтесь и готовьтесь
Лучшие системы безопасности в мире всегда будут бороться с инновационными и стратегическими атаками. Злоумышленники продемонстрировали свою способность и стремление идти в ногу с инновациями. Это гонка вооружений.
Вот почему так важно правильно и энергично тестировать свои протоколы безопасности, чтобы убедиться, что им можно доверять, когда это необходимо.
Есть несколько способов сделать это.
Подумайте о том, чтобы в вашей организации было место встречи в кризисной ситуации. Думайте об этом как о большой красной кнопке, которую кто угодно может нажать. Это может гарантировать, что нужные люди получат соответствующее предупреждение, даже если оно носит предупредительный характер.
Мостовые хаки: тестирование
Однако единственный способ убедиться, что система работает, — это протестировать ее. Вот почему наличие учений имеет решающее значение. Возможно, у ключевого члена команды неправильно настроена система оповещения или не работает определенный триггер. Регулярные неожиданные учения — отличный способ убедиться, что система (и люди в команде) реагируют правильно и в нужное время.
Наконец, крайне важно развивать свой подход к безопасности по мере изменения или расширения профиля риска вашего протокола.
Чем больше вы, тем сильнее вы будете падать. Поэтому очень важно развивать мышление в области безопасности, которое растет по мере взросления вашей организации или сообщества. Такое мышление будет поддерживать это здоровое чувство паранойи, а также устанавливать и поддерживать поддерживающие его протоколы.
Об авторе
Джон Шатт инженер по смарт-контрактам в UMA и соучредитель Через протокол, безопасный и децентрализованный кроссчейн-мост. Он работает над криптовалютой и зашифрованными системами обмена сообщениями уже более десяти лет.
Есть что сказать о бридж хаки или что-нибудь еще? Напишите нам или присоединяйтесь к обсуждению в нашем Канал Telegram. Вы также можете поймать нас на Tik Ток, что его цельили Twitter.
Отказ от ответственности
Вся информация, содержащаяся на нашем веб-сайте, публикуется добросовестно и только для общих информационных целей. Любые действия, которые читатель предпринимает в отношении информации, размещенной на нашем веб-сайте, совершаются исключительно на свой страх и риск.
Источник: https://beincrypto.com/bridge-hacks-prevent-them-by-trusting-nobody-not-even-yourself/