Użytkownicy tracący środki z powodu złośliwej aktywności są prawie nieznani w Ethereum. W rzeczywistości jest to właśnie powód, dla którego badacze niedawno opracowali propozycję wprowadzenia tokenu, który jest odwracalny w przypadku włamania lub innych niesmacznych zachowań.
W szczególności sugestia dotyczyłaby stworzenia ERC-20R i ERC-721R, które byłyby zmodyfikowanymi wersjami standardów rządzących zarówno zwykłymi tokenami Ethereum, jak i tokeny niezgłębione (NFT).
Założenie brzmi następująco: ten nowy standard umożliwiłby użytkownikom składanie „żądania zamrożenia” ostatnich transakcji, które zablokowałoby te fundusze, dopóki „zdecentralizowany system sądowniczy” nie określi ważności transakcji. Obie strony miałyby możliwość przedstawienia swoich dowodów, a sędziowie byliby wybierani losowo ze zdecentralizowanej puli, aby zminimalizować zmowę.
Pod koniec procesu zapadałby werdykt i albo środki zostałyby zwrócone, albo zostałyby tam, gdzie są. Decyzja ta byłaby wówczas ostateczna i nie podlegałaby dalszemu kwestionowaniu. Otworzyłoby to praktyczną drogę dla ofiar włamań i innych złośliwych działań, aby odzyskać swoje zasoby w sposób bezpośredni i oparty na społeczności.
Niestety, może to być zbędna i ostatecznie szkodliwa propozycja. Jednym z fundamentów zdecentralizowanej filozofii jest to, że transakcje idą tylko w jednym kierunku. Nie można ich cofnąć w praktycznie żadnych okolicznościach. Ta nowa zmiana protokołu podważy tę fundamentalną zasadę i pozwoli naprawić to, co nie jest zepsute.
Więc jak to działa, gdy atakujący kradnie ERC-20R i wypłaca ETH za pośrednictwem DEX w tej samej transakcji? A może ERC-20R będzie niekompatybilny z obecnym ekosystemem DeFi? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) 25 września 2022 r.
Jest też fakt, że nawet wdrożenie takich tokenów byłoby logistycznym koszmarem. O ile każda platforma nie przejdzie na nowy standard, wówczas w systemie pojawią się ogromne luki, co oznacza, że złodzieje mogą po prostu szybko zamienić swoje aktywa odwracalne na nieodwracalne i całkowicie uniknąć reperkusji. To sprawiłoby, że cały zasób byłby całkowicie bezcelowy i najprawdopodobniej użytkownicy po prostu nie zaangażują się w niego.
Co więcej, cała idea kontroli sądowej zakłada centralizację. Czy niezależność od strony trzeciej nie jest dokładnie tym, do czego stworzono kryptowalutę? Istniejąca propozycja nie jest jasna, jak ci sędziowie są wybierani, poza tym, że będzie to „losowe”. Bez bardzo starannego wyważenia systemu trudno powiedzieć, że zmowa czy manipulacja są niemożliwe.
Lepsza propozycja
Ostatecznie pojęcie odwracalnego zasobu kryptograficznego może być zgodne z dobrymi intencjami, ale jest również całkowicie niepotrzebne. Założenie wprowadza wiele nowych komplikacji w zakresie faktycznej integracji z istniejącymi systemami, a nawet przy założeniu, że platformy chcą z niej korzystać. Istnieją jednak inne sposoby na osiągnięcie bezpieczeństwa w zdecentralizowanym ekosystemie, które nie podważają tego, co sprawia, że kryptowaluta jest tak potężna na początku.
Po pierwsze, bieżący audyt wszystkich kodów inteligentnych kontraktów. Wiele problemów w zdecentralizowane finanse (DeFi) wynikają z exploitów obecnych w bazowych inteligentnych kontraktach. Kompleksowe i niezależne audyty bezpieczeństwa mogą pomóc w ustaleniu, gdzie występują potencjalne problemy, zanim te protokoły zostaną wydane. Co więcej, ważne jest, aby spróbować zrozumieć, w jaki sposób wiele kontraktów będzie ze sobą współdziałać, gdy zostaną uruchomione, ponieważ niektóre problemy pojawiają się tylko wtedy, gdy są używane na wolności.
Każda wdrożona umowa będzie zawierała czynniki ryzyka, które należy monitorować i przed którymi należy się bronić. Jednak wiele zespołów programistycznych nie posiada solidnego rozwiązania do monitorowania bezpieczeństwa. Często pierwszą oznaką, że dzieje się coś problematycznego, jest diagnoza w sieci. Masowe lub nietypowe transakcje oraz inne nietypowe wzorce transakcji mogą wskazywać na atak, który ma miejsce w czasie rzeczywistym. Umiejętność dostrzeżenia i zrozumienia tych sygnałów jest kluczem do utrzymania ich na szczycie.
Związane z: Anemiczny framework kryptograficzny Bidena nie oferował nic nowego
Oczywiście potrzebny jest również system dokumentowania i rejestrowania zdarzeń oraz przekazywania najważniejszych informacji właściwym podmiotom. Niektóre alerty można wysyłać do zespołu programistów, a inne udostępniać społeczności. Dzięki tak poinformowanej społeczności, lepsze bezpieczeństwo może nadejść w sposób, który jest zgodny ze zdecentralizowanym etosem, a nie jest spychany do funkcji kontroli sądowej.
Spójrzmy wstecz na hack Ronina jako przykład. Zespół odpowiedzialny za projekt zajęło pełne sześć dni, zanim zdał sobie sprawę, że doszło do ataku, dowiadując się o tym dopiero wtedy, gdy użytkownik skarżył się, że nie jest w stanie wypłacić środków. Gdyby istniało monitorowanie sieci w czasie rzeczywistym, odpowiedź mogłaby nastąpić niemal natychmiast po wystąpieniu pierwszej dużej, podejrzanej transakcji. Zamiast tego nikt tego nie zauważył przez prawie tydzień, dając napastnikowi wystarczająco dużo czasu na dalsze przenoszenie funduszy i ukrywanie swojej historii.
Wydaje się dość oczywiste, że odwracalne tokeny nie pomogłyby zbytnio w tej sytuacji, ale monitorowanie mogło. Zanim to zauważono, wiele skradzionych monet było wielokrotnie przenoszonych przez portfele i giełdy. Czy wszystkie te transakcje można po prostu cofnąć? Wprowadzona złożoność, a także potencjalne nowe zagrożenia oznaczają, że to przedsięwzięcie po prostu nie jest warte wysiłku. Zwłaszcza jeśli weźmie się pod uwagę, że istnieją już potężne mechanizmy, które mogą oferować podobny poziom bezpieczeństwa i rozliczalności.
Zamiast bawić się formułą, która sprawia, że kryptowaluty są tak potężne, o wiele bardziej sensowne byłoby wdrożenie kompleksowych i ciągłych procesów bezpieczeństwa w sieci Web3, aby zdecentralizowane zasoby pozostały niezmienne, ale nie były niezabezpieczone.
Stephena Lloyda Webbera jest inżynierem oprogramowania i autorem z różnorodnym doświadczeniem w upraszczaniu złożonych sytuacji. Fascynuje go open source, decentralizacja i wszystko na blockchainie Ethereum. Stephen pracuje obecnie w marketingu produktów w Open Zeppelin, wiodącej firmie zajmującej się technologią i usługami związanymi z cyberbezpieczeństwem kryptowalutowym, oraz ma tytuł magistra pisania w języku angielskim na Uniwersytecie Stanowym Nowego Meksyku.
Ten artykuł służy do ogólnych celów informacyjnych i nie ma na celu i nie powinien być traktowany jako porada prawna lub inwestycyjna. Poglądy, myśli i opinie wyrażone tutaj są wyłącznie autorem i niekoniecznie odzwierciedlają lub reprezentują poglądy i opinie Cointelegraph.
Źródło: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures