橋樑黑客事件經常出現在新聞中。 維持 安全,我們必須保持健康的偏執感,說 約翰·舒特 的 跨協議.
在過去的一年裡,針對跨鏈橋的定期、成功且破壞性的攻擊不斷發生。 他們已經導致 大規模 數量 資產被竊。
這一趨勢表明需要加強對區塊鏈橋樑如何安全和保護的審查和反思。
最近的頭條新聞是對 Axie Infinity 的 Ronin 橋的利用,該漏洞導致了超過 600 億美元的損失 以太幣 USDC 被攻擊者竊取。
該漏洞發生於 23 月 XNUMX 日,但花了一周多的時間才發現盜竊行為。 Ronin 開發人員最終透露,攻擊者使用受損的私鑰進行虛假提款,並在兩筆交易中清空了 Ronin 橋上的資金。
這種利用是一種毀滅性的盜竊行為,會為這些資產的合法所有者帶來巨大的後果。 而且,它對加密貨幣和 DEFI 整個行業。 尤其是那些專注於資產橋協議並努力加強安全性、建立信任和改進功能的人。
這裡有一些教訓。
不相信任何人,尤其是你自己
當涉及到橋接安全或任何形式的協議安全時,擁有一個分散信任和監控的系統至關重要。
為此,我們必須保持健康的偏執感。 這種偏執,加上故障安全系統和技術專長,將形成一個強大的安全監控系統。 這包括在出現問題或看起來可能出現問題時,在半夜讓合適的人起床的警報。
如果我們自己的接入點受到損害,我們應該建造甚至不需要我們表現得值得信賴的系統。 你可以將其視為「傑基爾與海德」的預防措施,即你所建構的系統能夠承受你在完全改變立場時打破它的嘗試。
橋樑駭客: 進行適當的裁員
強大的監控系統應該將工程機器人和人力審查層結合起來。 工程團隊建造的任何東西都應該與執行自動監控的機器人一起開發。 但僅僅依靠這些機器人還不夠。 機器人可能而且確實會失敗。
可以向工程團隊發出問題、違規或警報警報的第三方監控服務也是一個有價值的安全層。
可以透過以下方式開發重要的附加安全層和爭議解決層: 樂觀的預言 (OO)。
例如,UMA 的 OO 有助於確保 穿過, 一種資產橋協議,為中繼者提供激勵,以促進用戶的資金轉移。
這些中繼者將在兩小時內從流動性池中償還。 使用 OO 為交易提供保障,OO 充當爭議解決層。 OO 驗證並確認轉移資金的用戶和賺取費用的保險公司之間的所有合約。
OO 充當“真相機器”,由一群人提供支持,在極少數發生爭議的情況下提供真實世界的數據驗證和解決方案。
練習、練習和準備
世界上最好的安全系統將始終與創新和戰略攻擊作鬥爭。 攻擊者已經展示了他們與創新保持同步的能力和慾望。 這是一場軍備競賽。
這就是為什麼正確、積極地測試您的安全協議以確保它們在需要時可以信任至關重要。
有幾種方法可以做到這一點。
考慮在您的組織內設立危機匯合點。 把它想像成一個紅色的大按鈕,任何人——任何人——都可以按下。 它可以確保正確的人員收到適當的警報——即使是預防性的。
橋接駭客:測試
然而,確保系統正常運作的唯一方法是對其進行測試。 這就是為什麼進行演習至關重要。 團隊的關鍵成員可能沒有正確設定警報系統,或某個觸發器被破壞。 定期進行意外演習是確保系統(以及團隊成員)在正確的時間以正確的方式回應的好方法。
最後,隨著協議風險狀況的變化或擴展,必須改進您的安全方法。
你越大,跌倒就越困難。 因此,培養隨著組織或社區的成熟而成長的安全心態非常重要。 這種心態將保持健康的偏執感,並建立和維護支持它的協議。
關於作者
約翰·舒特 是 UMA 的智能合約工程師,也是 跨協議,一個安全、去中心化的跨鏈橋。 十多年來,他一直致力於加密貨幣和加密訊息系統的研究。
有話要說 橋樑黑客 還是別的什麼? 寫信給我們 或加入我們的討論 電報頻道。 您也可以關注我們 笛 托克, Facebook, 或者 Twitter.
免責聲明
我們網站上包含的所有信息均出於善意發布,僅供一般參考。 讀者對我們網站上的信息採取的任何措施均完全自擔風險。
資料來源:https://beincrypto.com/bridge-hacks-prevent-them-by-trusting-nobody-not-even-yourself/