Palaging nasa balita ang mga bridge hack. Para mapanatili katiwasayan, dapat nating panatilihin ang isang malusog na pakiramdam ng paranoya, sabi John Shutt ng Sa buong Protocol.
Sa nakalipas na taon, nagkaroon ng regular, matagumpay at nakakapinsalang pag-atake na nagta-target sa mga cross-chain bridge. Nagbunga na sila matipuno mga halaga ng mga asset na ninakaw.
Ang trend na ito ay nagpapakita ng pangangailangan para sa pagtaas ng pagsisiyasat at pagmumuni-muni na nakatuon sa kung paano sinisigurado at pinoprotektahan ang mga tulay ng blockchain.
Ang pinakahuling mang-agaw ng headline ay ang pagsasamantala sa Ronin bridge ng Axie Infinity na nagresulta sa mahigit $600 milyon sa Ethereum at USDC na ninakaw ng mga umaatake.
Naganap ang pagsasamantala noong Marso 23 ngunit umabot ng mahigit isang linggo bago matukoy ang pagnanakaw. Sa kalaunan ay isiniwalat ng mga developer ng Ronin na ang umaatake ay gumamit ng mga nakompromisong pribadong key para sa mga pekeng pag-withdraw at inubos ang mga pondo mula sa tulay ng Ronin sa isang pares ng mga transaksyon.
Ang pagsasamantalang ito ay isang mapangwasak na pagnanakaw na may napakalaking kahihinatnan para sa mga karapat-dapat na may-ari ng mga asset na iyon. Ngunit din, mayroon itong mga kahihinatnan para sa crypto at DeFi industriya sa kabuuan. Lalo na ang mga nakatuon sa mga protocol ng tulay ng asset at nagsisikap na palakasin ang seguridad, bumuo ng tiwala at pagbutihin ang paggana.
Mayroong ilang mga aralin dito.
Huwag magtiwala sa sinuman, lalo na sa iyong sarili
Pagdating sa bridge security, o anumang anyo ng protocol security, napakahalaga na magkaroon ng isang sistema na nagdedesentralisa sa tiwala at pagsubaybay.
Upang magawa iyon, dapat nating mapanatili ang isang malusog na pakiramdam ng paranoya. Ang paranoya na iyon, kasama ng mga failsafe system at teknikal na kadalubhasaan, ay magreresulta sa isang matatag na sistema ng pagsubaybay sa seguridad. Kabilang dito ang mga alerto na magpapaalis sa mga tamang tao sa kama sa kalagitnaan ng gabi, kung may magkamali, o mukhang posibleng nagkamali.
Dapat tayong bumuo ng mga system na hindi man lang nangangailangan na kumilos tayo bilang mapagkakatiwalaan, kung makompromiso ang sarili nating mga access point. Maaari mong isipin ito bilang isang pag-iingat sa "Jekyll at Hyde", kung saan bubuo ka ng isang sistema na kayang tiisin ang iyong pagtatangka na sirain ito sakaling tuluyan kang magpalit ng panig.
Mga Bridge Hack: Magkaroon ng mga redundancy sa lugar
Dapat pagsamahin ng malalakas na sistema ng pagsubaybay ang mga engineered na bot at mga layer ng pagsisiyasat na pinapagana ng tao. Anumang bagay na binuo ng isang team ng engineering ay dapat na binuo kasabay ng mga bot na nagsasagawa ng awtomatikong pagsubaybay. Ngunit hindi sapat na umasa sa mga bot na iyon. Ang mga bot ay maaaring, at magagawa, mabigo.
Ang mga serbisyo sa pagsubaybay ng third-party na maaaring mag-alerto sa isang engineering team sa mga isyu, paglabag, o alerto ay isa ring mahalagang layer ng seguridad.
Ang isang mahalagang karagdagang layer ng seguridad at paglutas ng hindi pagkakaunawaan ay maaaring mabuo gamit ang isang optimistikong orakulo (OO).
Halimbawa, ang OO ng UMA ay tumutulong sa pag-secure Sa kabila, isang asset bridge protocol na nagbibigay ng mga insentibo sa mga relayer para isulong ang mga paglilipat ng pondo para sa mga user.
Ang mga relayer na ito ay binabayaran mula sa isang liquidity pool sa loob ng dalawang oras. Ang mga transaksyon ay nakaseguro gamit ang OO, na nagsisilbing layer ng paglutas ng hindi pagkakaunawaan. Ang OO ay nagpapatunay at nagpapatunay sa lahat ng mga kontrata sa pagitan ng gumagamit na naglilipat ng mga pondo at ng insurer na kumikita ng bayad.
Ang OO ay gumagana bilang isang "truth machine" at pinapagana ng isang komunidad ng mga tao na nagbibigay ng real-world na pag-verify at paglutas ng data, sa bihirang kaganapan ng isang hindi pagkakaunawaan.
Mag-drill, magsanay at maghanda
Ang pinakamahusay na mga sistema ng seguridad sa mundo ay palaging nakikipaglaban sa mga makabago at madiskarteng pag-atake. Ipinakita ng mga umaatake ang kanilang kakayahan at gana na manatili sa lock-step na may pagbabago. Ito ay isang karera ng armas.
Kaya naman napakahalaga na subukan ang iyong mga protocol ng seguridad nang maayos at masigla upang matiyak na mapagkakatiwalaan ang mga ito kapag kinakailangan.
Mayroong ilang mga paraan upang gawin ito.
Isaalang-alang ang pagkakaroon ng isang crisis meeting point sa loob ng iyong organisasyon. Isipin ito na parang isang malaking pulang butones na maaaring itulak ng isang tao - kahit sino. Maaari nitong matiyak na matatanggap ng mga tamang tao ang naaangkop na alerto – kahit na ito ay pag-iingat.
Bridge Hacks: Pagsubok
Ang tanging paraan upang matiyak na gumagana ang system, gayunpaman, ay upang subukan ito. Kaya naman napakahalaga ng pagkakaroon ng mga drills. Posibleng walang maayos na naka-set up na sistema ng alerto ang isang pangunahing miyembro ng team, o nasira ang isang partikular na trigger. Ang pagkakaroon ng regular, hindi inaasahang mga drill ay isang mahusay na paraan upang matiyak na ang system (at ang mga tao sa team) ay tumutugon sa tamang paraan, sa tamang oras.
Panghuli, kinakailangang baguhin ang iyong diskarte sa seguridad habang nagbabago o lumalawak ang profile ng panganib ng iyong protocol.
Kung mas malaki ka, mas mahirap kang mahulog. Kaya't mahalaga ang pag-aalaga ng mindset ng seguridad na lumalago habang lumalaki ang iyong organisasyon o komunidad. Ang mindset na ito ay magpapanatili ng malusog na pakiramdam ng paranoya at upang maitaguyod at mapanatili ang mga protocol na sumusuporta dito.
Tungkol sa Author
John Shutt ay isang matalinong contract engineer sa UMA at co-founder ng Sa buong Protocol, isang secure at desentralisadong cross-chain bridge. Siya ay nagtatrabaho sa cryptocurrency at naka-encrypt na mga sistema ng pagmemensahe sa loob ng mahigit isang dekada.
May sasabihin tungkol sa mga hack sa tulay o kahit ano pa? Isulat sa amin o sumali sa talakayan sa aming Channel ng Telegram. Maaabutan mo rin kami Tik Tok, Facebook, O kaba.
Pagtanggi sa pananagutan
Ang lahat ng impormasyon na nilalaman sa aming website ay nai-publish sa mabuting pananampalataya at para sa pangkalahatang mga layunin ng impormasyon lamang. Anumang pagkilos na gagawin ng mambabasa sa impormasyong matatagpuan sa aming website ay mahigpit na nasa kanilang sariling peligro.
Pinagmulan: https://beincrypto.com/bridge-hacks-prevent-them-by-trusting-nobody-not-even-yourself/