桥梁黑客事件不断出现在新闻中。维持 保安,我们必须保持健康的偏执感,说 约翰·舒特 的 跨协议.
在过去的一年里,针对跨链桥的定期、成功且具有破坏性的攻击不断发生。他们已经导致 大规模 量 资产被盗。
这一趋势表明需要加强对区块链桥梁如何安全和保护的审查和反思。
最近的头条新闻是对 Axie Infinity 的 Ronin 桥的利用,该漏洞导致了超过 600 亿美元的损失 以太币 USDC 被攻击者窃取。
该漏洞发生于 23 月 XNUMX 日,但花了一周多的时间才发现盗窃行为。 Ronin 开发人员最终透露,攻击者使用受损的私钥进行虚假提款,并在两笔交易中清空了 Ronin 桥上的资金。
这种利用是一种毁灭性的盗窃行为,会给这些资产的合法所有者带来巨大的后果。而且,它对加密货币和 DEFI 整个行业。尤其是那些专注于资产桥协议并努力加强安全性、建立信任和改进功能的人。
这里有一些教训。
不相信任何人,尤其是你自己
当涉及到桥接安全或任何形式的协议安全时,拥有一个分散信任和监控的系统至关重要。
为此,我们必须保持健康的偏执感。这种偏执,加上故障安全系统和技术专长,将形成一个强大的安全监控系统。这包括在出现问题或看起来可能出现问题时,在半夜让合适的人起床的警报。
如果我们自己的接入点受到损害,我们应该构建甚至不需要我们表现得值得信赖的系统。你可以将其视为“杰基尔与海德”的预防措施,即你构建的系统能够承受你在完全改变立场时打破它的尝试。
桥梁黑客: 进行适当的裁员
强大的监控系统应该将工程机器人和人力审查层结合起来。工程团队构建的任何东西都应该与执行自动监控的机器人一起开发。但仅仅依赖这些机器人还不够。机器人可能而且确实会失败。
可以向工程团队发出问题、违规或警报警报的第三方监控服务也是一个有价值的安全层。
可以通过以下方式开发重要的附加安全层和争议解决层: 乐观神谕 (OO)。
例如,UMA 的 OO 有助于确保 穿过, 一种资产桥协议,为中继者提供激励,以促进用户的资金转移。
这些中继者将在两小时内从流动性池中偿还。使用 OO 为交易提供保障,OO 充当争议解决层。 OO 验证并确认转移资金的用户和赚取费用的保险公司之间的所有合同。
OO 充当“真相机器”,由一群人提供支持,在极少数发生争议的情况下提供真实世界的数据验证和解决方案。
练习、练习和准备
世界上最好的安全系统将始终与创新和战略攻击作斗争。攻击者已经展示了他们与创新保持同步的能力和欲望。这是一场军备竞赛。
这就是为什么正确、积极地测试您的安全协议至关重要,以确保它们在需要时值得信任。
有几种方法可以做到这一点。
考虑在您的组织内设立一个危机汇合点。把它想象成一个红色的大按钮,任何人——任何人——都可以按下。它可以确保合适的人收到适当的警报——即使是预防性的。
桥接黑客:测试
然而,确保系统正常运行的唯一方法是对其进行测试。这就是为什么演习至关重要。团队的关键成员可能没有正确设置警报系统,或者某个触发器被破坏。定期进行意外演习是确保系统(以及团队成员)在正确的时间以正确的方式做出响应的好方法。
最后,随着协议风险状况的变化或扩展,必须改进您的安全方法。
你越大,摔倒就越困难。因此,培养随着组织或社区的成熟而成长的安全心态非常重要。这种心态将保持健康的偏执感,并建立和维护支持它的协议。
关于作者
约翰·舒特 是 UMA 的智能合约工程师,也是 跨协议,一个安全、去中心化的跨链桥。十多年来,他一直致力于加密货币和加密消息系统的研究。
有话要说 桥梁黑客 还是别的什么? 联系我们 或加入我们的讨论 电报频道。 您也可以关注我们 笛 托克, Facebook或 Twitter.
免责声明
我们网站上包含的所有信息都是真诚发布的,仅供一般参考。 读者对我们网站上的信息采取的任何措施均完全自担风险。
来源:https://beincrypto.com/bridge-hacks-prevent-them-by-trusting-nobody-not-even-yourself/