Уроки на 300 мільйонів доларів, які потрібно засвоїти.
5 уроків, які вам потрібно знати з експлойту Wormhole минулого тижня
Шановна Bankless нація,
На початку минулого тижня міст Солани Wormhole був скомпрометований на загальну суму 120 тисяч ETH.
З вартістю понад 300 мільйонів доларів, злом Wormhole є другим за величиною зломом смарт-контракту в історії, поступаючись лише злому Poly Network вартістю 600 мільйонів доларів 2021 року.
Обидві ці атаки були спрямовані на перехресні ланцюгові мости.
Тепер це закономірність: мости є цінними цілями для зловмисників, а це означає, що безпека мостів важливіша, ніж будь-коли.
Тому ми звернулися до команди Optimism, щоб допомогти нам обґрунтувати уроки, які ми винесли з цього минулого тижня.
Дякуємо Кельвіну та команді Optimism за допомогу в цьому!
Автор: David Hoffman
Український переклад: Romko.
Це офіційний блог команди BanklessUA. Підписуйтесь на нас та підтримайте розвиток української спільноти! Пізнайте світ відкритих фінансів разом з нами!
Урок 1: Простота – це безпека!
Використовуйте прості мости!
Складний код – червоний прапор для мостів. Кожен додатковий рядок коду є додатковою загрозою для безпеки мосту.
Основна логіка мосту повинна містити лише мінімальну логіку, необхідну для роботи мосту — будь-який додатковий код посилює ризик.
Урок 2: Згортальні мости краще!
Перехресні мости мають більше рухомих частин, ніж згорнуті мости.
Хоча цей конкретний експлойт не включав природу крос-ланцюга проти мостів L2, він викликав розмову про зону ризику з мостами крос-ланцюга.
Експло́йт (від англ. exploit — експлуатувати) — це комп'ютерна програма, фрагмент програмного коду або послідовність команд, що використовують вразливості в програмному забезпеченні та призначені для проведення атаки на обчислювальну систему. Метою атаки може бути як захоплення контролю над системою (підвищення привілеїв), так і порушення її функціонування (DoS-атака).
Виміряти безпеку важко, тому люди зазвичай ставляться до ефекту Лінді як до джерела передбачування:
Чим довше він існує, тим довше він зберігатиметься
Проблема крос-ланцюгових мостів полягає в тому, що додаткова складність обмежує його здатність генерувати життя методом Lindy.
Кожен додатковий вектор ризику зменшує силу, яку грає час у можливості доступу до безпеки.
Мости з мінімізованими лініями та мінімізованими зовнішніми залежностями досягають максимального циклу життя за методом Lindy.
Урок 3: Ми не можемо покладатися на допомогу
Екосистемі Солани надзвичайно пощастило, що Jump Capital зміг і захотів виручити 300 мільйонів доларів від зниклого ETH. Це фантастично, що люди оздоровлюються, а екосистемі Солана не завдано матеріальної шкоди.
І все ж…
Небезпечно створювати прецедент, що хакерство великих бриджів буде покриватися найближчим венчурним капіталом. Одного дня мости будуть коштувати мільярди доларів. Одного дня мости будуть набагато децентралізованішими, і не буде кому оплачувати рахунок.
Одного дня допомога не прийде.
Урок 4: Стимулюйте Whitehats
Нашим будівельникам мостів варто завербувати хакерів з “білим капелюхом”.
🧠 Хакери Whitehat — це хакери з етичними правилами безпеки.
Запустіть нагороду за помилки!
У кожному мостовому проєкті має бути запущена програма допомоги за помилки. Сучасні криптовалютні програми зазвичай пропонують максимальні виплати від 1 до 2 мільйонів доларів.
Такі виплати можуть здатися великими, але вони будуть платити набагато більше, якщо їхній міст буде зламаний (Wormhole запропонував зловмиснику ретроактивну винагороду в розмірі 10 мільйонів доларів).
Зробіть свій код доступним
Якщо ваші розробники мостів ускладнюють перегляд і розробку коду, то хакери Whitehat набагато рідше долучатимуться до цього.
Ось чому опублікований і перевірений код настільки важливий для екосистеми — чим більше очей, тим краще.
Урок 5: Зломи будуть продовжуватись!
Незалежно від того, чи вірите ви, що ми йдемо до світу Cross-L1 або світу з кількома L2, ми будемо жити у світі мостів.
Мости — це бджоли. Якщо їх можна експлуатувати, вони будуть експлуатуватися. Хоча злом Wormhole вартістю 300 мільйонів доларів є жахливим, принаймні завдяки цьому, проєкт почав розмову про безпеку мосту та компроміси.
Сподіваємося, ці уроки допоможуть вам після божевільного тижня.
Оригінал статті знайдете 👉 тут!
Залучайся
❤️ Підписуйтесь на Instagram BanklessUA: Підписуйтесь на офіційний Інстаграм українських представників від Bankless та підтримуйте локальну українську спільноту!
❤️ Підписуйтесь на наш Discord: не знаєш як у всьому цьому розібратись? Потрібна допомога? Підписуйся на наш discord, де ти зможеш отримати допомогу та спілкуватись з однодумцями!
Сподобалась стаття? Надішли її своїм друзям, які цікавляться криптовалютою. Цим саме ТИ допоможеш розвитку української спільноти BanklessUA!
Це інформаційний блог, який носить виключно навчальний характер. Не є порадою щодо інвестування чи закликом купити чи продати будь-які активи чи прийняти будь-які фінансові рішення.