Bridge hacks zijn constant in het nieuws. Behouden veiligheid, we moeten een gezond gevoel van paranoia behouden, zegt John Shutt van de Over protocol.
Het afgelopen jaar zijn er regelmatig, succesvolle en schadelijke aanvallen geweest op ketenoverschrijdende bruggen. Ze hebben geresulteerd in massief hoeveelheden van activa die worden gestolen.
Deze trend laat zien dat er behoefte is aan meer controle en reflectie, gericht op hoe blockchain-bruggen worden beveiligd en beschermd.
De meest recente headliner was de exploitatie van de Ronin-brug van Axie Infinity, wat resulteerde in meer dan $ 600 miljoen in Ethereum en USDC wordt gestolen door de aanvallers.
De exploit vond plaats op 23 maart, maar het duurde meer dan een week voordat de diefstal werd ontdekt. De ontwikkelaars van Ronin onthulden uiteindelijk dat de aanvaller gecompromitteerde privésleutels gebruikte voor nep-opnames en het geld van de Ronin-brug leegmaakte in een paar transacties.
Deze exploit is een verwoestende diefstal die enorme gevolgen heeft voor de rechtmatige eigenaren van die activa. Maar het heeft ook gevolgen voor de crypto en Defi industrie als geheel. Vooral degenen die zich richten op asset bridge-protocollen en proberen de beveiliging te versterken, vertrouwen op te bouwen en de functionaliteit te verbeteren.
Er zijn een paar lessen hier.
Vertrouw niemand, vooral jezelf
Als het gaat om bridge-beveiliging, of enige vorm van protocolbeveiliging, is het van cruciaal belang om een systeem te hebben dat vertrouwen en monitoring decentraliseert.
Om dat te doen, moeten we een gezond gevoel van paranoia behouden. Die paranoia, in combinatie met failsafe-systemen en technische expertise, zal resulteren in een robuust beveiligingsmonitoringsysteem. Dit omvat waarschuwingen die ervoor zorgen dat de juiste mensen midden in de nacht uit bed komen, mocht er iets misgaan of mogelijk verkeerd zijn gegaan.
We zouden systemen moeten bouwen die niet eens vereisen dat we ons als betrouwbaar gedragen, mochten onze eigen toegangspunten in gevaar komen. Je zou dit kunnen zien als een "Jekyll and Hyde"-voorzorgsmaatregel, waarbij je een systeem bouwt dat bestand is tegen je poging om het te doorbreken als je volledig van kant verandert.
Brughacks: Zorg voor ontslagen
Sterke monitoringsystemen moeten technische bots combineren met door mensen aangedreven lagen van controle. Alles wat een technisch team bouwt, moet worden ontwikkeld in samenwerking met bots die geautomatiseerde monitoring uitvoeren. Maar het is niet genoeg om op die bots te vertrouwen. Bots kunnen en zullen falen.
Monitoringservices van derden die een engineeringteam kunnen waarschuwen voor problemen, inbreuken of waarschuwingen, vormen ook een waardevolle beveiligingslaag.
Een belangrijke extra beveiligingslaag en geschillenbeslechting kan worden ontwikkeld met een optimistisch orakel (OO).
UMA's OO helpt bijvoorbeeld bij het beveiligen Over, een asset bridge-protocol dat stimulansen geeft aan relayers om geldoverdrachten voor gebruikers te bevorderen.
Deze relayers worden binnen twee uur uit een liquiditeitspool terugbetaald. Transacties zijn verzekerd met behulp van de OO, die fungeert als een laag voor geschillenbeslechting. De OO verifieert en valideert alle contracten tussen de gebruiker die geld overmaakt en de verzekeraar die de vergoeding verdient.
De OO functioneert als een "waarheidsmachine" en wordt aangedreven door een gemeenschap van mensen die real-world gegevensverificatie en oplossing bieden, in het zeldzame geval van een geschil.
Boren, oefenen en voorbereiden
De beste beveiligingssystemen ter wereld zullen altijd strijden tegen innovatieve en strategische aanvallen. Aanvallers hebben laten zien dat ze in staat en bereid zijn om op de hoogte te blijven van innovatie. Het is een wapenwedloop.
Daarom is het van cruciaal belang om uw beveiligingsprotocollen goed en krachtig te testen om ervoor te zorgen dat ze kunnen worden vertrouwd wanneer dat nodig is.
Er zijn weinig manieren om dit te doen.
Overweeg om een crisisontmoetingspunt binnen uw organisatie te hebben. Zie het als een grote rode knop die iemand – iedereen – kan indrukken. Het kan ervoor zorgen dat de juiste mensen de juiste waarschuwing krijgen - zelfs als het uit voorzorg is.
Brughacks: testen
De enige manier om er zeker van te zijn dat het systeem werkt, is door het te testen. Daarom is het hebben van oefeningen cruciaal. Het is mogelijk dat een belangrijk lid van het team het waarschuwingssysteem niet goed heeft ingesteld, of dat een bepaalde trigger is verbroken. Regelmatige, onverwachte oefeningen houden is een geweldige manier om ervoor te zorgen dat het systeem (en de mensen in het team) op de juiste manier en op het juiste moment reageren.
Ten slotte is het absoluut noodzakelijk om uw benadering van beveiliging te evolueren naarmate het risicoprofiel van uw protocol verandert of uitbreidt.
Hoe groter je bent, hoe harder je valt. Het is dus belangrijk om een beveiligingsmindset te koesteren die groeit naarmate uw organisatie of gemeenschap volwassener wordt. Deze mentaliteit zal dat gezonde gevoel van paranoia in stand houden en de protocollen die dit ondersteunen tot stand brengen en onderhouden.
Over de auteur
John Shutt is een smart contract engineer bij UMA en mede-oprichter van de Over protocol, een veilige en gedecentraliseerde cross-chain bridge. Hij werkt al meer dan tien jaar aan cryptocurrency en versleutelde berichtensystemen.
Heb iets te zeggen over bridge-hacks of iets anders? Neem contact met ons op of discussieer mee in onze Telegram-kanaal. Je kunt ons ook pakken op Kruis aan Tok, Facebookof Twitter.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt naar aanleiding van de informatie op onze website, is strikt op eigen risico.
Bron: https://beincrypto.com/bridge-hacks-prevent-them-by-trusting-nobody-not-even-yourself/