Gli hack del bridge sono costantemente nelle notizie. Per mantenere la sicurezza, dobbiamo mantenere un sano senso di paranoia, afferma John Shutt dell'Across Protocol .
Nell'ultimo anno si sono verificati attacchi regolari, riusciti e dannosi contro i ponti a catena incrociata. Hanno portato al furto di enormi quantità di beni.
Questa tendenza rivela la necessità di un maggiore controllo e riflessione incentrato su come i ponti blockchain sono protetti e protetti.
Il titolo più recente è stato l'exploit del ponte Ronin di Axie Infinity che ha portato al furto di oltre 600 milioni di dollari in Ethereum e USDC da parte degli aggressori.
L'exploit è avvenuto il 23 marzo ma ci è voluta più di una settimana per scoprire il furto. Gli sviluppatori di Ronin alla fine hanno rivelato che l'attaccante ha utilizzato chiavi private compromesse per prelievi falsi e ha svuotato i fondi dal ponte Ronin in un paio di transazioni.
Questo exploit è un furto devastante che ha enormi conseguenze per i legittimi proprietari di quei beni. Ma ha anche conseguenze per il settore delle criptovalute e della DeFi nel suo insieme. Soprattutto coloro che si concentrano sui protocolli di asset bridge e si sforzano di rafforzare la sicurezza, creare fiducia e migliorare la funzionalità.
Ci sono alcune lezioni qui.
Non fidarti di nessuno, men che meno di te stesso
Quando si tratta di bridge security, o di qualsiasi forma di sicurezza del protocollo, è fondamentale disporre di un sistema che decentralizzi la fiducia e il monitoraggio.
Per farlo, dobbiamo mantenere un sano senso di paranoia. Quella paranoia, unita ai sistemi fail-safe e all'esperienza tecnica, si tradurrà in un solido sistema di monitoraggio della sicurezza. Ciò include avvisi che faranno alzare le persone giuste dal letto nel bel mezzo della notte, se qualcosa va storto o sembra che sia andato storto.
Dovremmo costruire sistemi che non richiedano nemmeno di agire in modo affidabile, nel caso in cui i nostri punti di accesso fossero compromessi. Potresti pensare a questo come a una precauzione "Jekyll e Hyde", in cui costruisci un sistema in grado di resistere al tuo tentativo di romperlo se dovessi cambiare completamente lato.
Bridge Hacks: disporre di ridondanze in atto
Sistemi di monitoraggio efficaci dovrebbero combinare robot ingegnerizzati e livelli di controllo azionati dall'uomo. Tutto ciò che viene creato da un team di ingegneri dovrebbe essere sviluppato insieme a bot che eseguono il monitoraggio automatizzato. Ma non basta fare affidamento su quei bot. I bot possono e falliscono.
Anche i servizi di monitoraggio di terze parti in grado di avvisare un team di ingegneri di problemi, violazioni o avvisi sono un prezioso livello di sicurezza.
Un importante livello aggiuntivo di sicurezza e risoluzione delle controversie può essere sviluppato con un oracolo ottimista (OO).
Ad esempio, OO di UMA aiuta a proteggere Across, un protocollo di ponte di risorse che fornisce incentivi ai relayer per anticipare i trasferimenti di fondi per gli utenti.
Questi relayer vengono rimborsati da un pool di liquidità entro due ore. Le transazioni sono assicurate utilizzando l'OO, che funge da livello di risoluzione delle controversie. L'OO verifica e convalida tutti i contratti tra l'utente che trasferisce fondi e l'assicuratore che guadagna la quota.
L'OO funziona come una "macchina della verità" ed è alimentato da una comunità di persone che forniscono la verifica e la risoluzione dei dati nel mondo reale, nel raro caso di una controversia.
Allena, esercita e prepara
I migliori sistemi di sicurezza al mondo combatteranno sempre contro attacchi innovativi e strategici. Gli aggressori hanno dimostrato la loro capacità e il loro appetito di rimanere al passo con l'innovazione. È una corsa agli armamenti.
Ecco perché è fondamentale testare i protocolli di sicurezza in modo corretto e vigoroso per garantire che possano essere considerati affidabili quando necessario.
Ci sono pochi modi per farlo.
Considera di avere un punto di incontro di crisi all'interno della tua organizzazione. Pensalo come un grande pulsante rosso che qualcuno, chiunque, può premere. Può garantire che le persone giuste ricevano l'avviso appropriato, anche se è precauzionale.
Bridge Hacks: test
L'unico modo per assicurarsi che il sistema funzioni, tuttavia, è testarlo. Ecco perché avere trapani è fondamentale. È possibile che un membro chiave del team non disponga del sistema di avviso impostato correttamente o che un determinato trigger sia interrotto. Avere esercitazioni regolari e impreviste è un ottimo modo per garantire che il sistema (e le persone del team) rispondano nel modo giusto, al momento giusto.
Infine, è fondamentale evolvere il tuo approccio alla sicurezza man mano che il profilo di rischio del tuo protocollo cambia o si espande.
Più grande sei, più forte cadrai. Quindi è importante coltivare una mentalità di sicurezza che cresce man mano che la tua organizzazione o comunità matura. Questa mentalità manterrà quel sano senso di paranoia e stabilirà e manterrà i protocolli che lo supportano.
Circa l'autore
John Shutt è un ingegnere di smart contract presso UMA e co-fondatore di Across Protocol , un ponte cross-chain sicuro e decentralizzato. Ha lavorato su criptovaluta e sistemi di messaggistica crittografati per oltre un decennio.
Hai qualcosa da dire sugli hack del bridge o altro? Scrivici o partecipa alla discussione nel nostro canale Telegram. Puoi anche trovarci su Tik Tok , Facebook o Twitter .
Il post Bridge Hacks: Previeni fidandoti di nessuno, nemmeno di te stesso è apparso per la prima volta su BeInCrypto .