Brukere som taper penger på grunn av ondsinnet aktivitet er neppe ukjent på Ethereum. Faktisk er det selve grunnen til at forskere nylig utviklet et forslag om å introdusere en type token som er reversibel i tilfelle hack eller annen ubehagelig oppførsel.
Nærmere bestemt vil forslaget føre til opprettelse av en ERC-20R og ERC-721R, som vil være modifiserte versjoner av standardene som styrer både vanlige Ethereum-tokens og nonfungible tokens (NFT).
Forutsetningen går slik: denne nye standarden vil tillate brukere å lage en "fryseforespørsel" på nylige transaksjoner som vil låse disse midlene inntil et "desentralisert rettssystem" bestemmer gyldigheten av transaksjonen. Begge parter ville få lov til å legge fram bevisene sine, og dommerne ville bli valgt tilfeldig fra en desentralisert pool for å minimere samarbeid.
På slutten av prosessen ville det bli avsagt en dom og enten ville midlene bli returnert eller de ville bli der de er. Denne avgjørelsen vil da være endelig og ikke gjenstand for ytterligere strid. Dette ville åpne opp en praktisk vei for ofre for hacks og annen ondsinnet aktivitet for å få tilbake sine eiendeler på en direkte og fellesskapsdrevet måte.
Dessverre kan dette godt være et unødvendig og til slutt skadelig forslag. En av hjørnesteinene i den desentraliserte filosofien er at transaksjoner bare går i én retning. De kan ikke angres under praktisk talt noen omstendigheter. Denne nye protokollendringen vil undergrave den grunnleggende forskriften og for å fikse det som ikke er brutt.
Så hvordan fungerer dette når en angriper stjeler ERC-20R og casher ut til ETH via en DEX i samme transaksjon? Eller vil ERC-20R være inkompatibel med det nåværende DeFi-økosystemet? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) September 25, 2022
Det er også det faktum at selv å implementere slike tokens ville være et logistisk mareritt. Med mindre hver enkelt plattform gikk over til den nye standarden, ville det være store hull i systemet, noe som betyr at tyvene ganske enkelt raskt kunne bytte sine reversible eiendeler med ikke-reversible og unngå konsekvensene helt. Dette vil gjøre hele eiendelen helt meningsløs, og mer enn sannsynlig vil brukere rett og slett ikke engasjere seg i den.
Videre innebærer hele ideen om en rettslig prøving sentralisering. Er ikke uavhengighet fra en tredjepart akkurat det kryptovaluta ble skapt for? Det eksisterende forslaget er ikke klart på hvordan disse dommerne velges, annet enn at det vil være "tilfeldig." Uten at systemet er veldig nøye balansert, er det vanskelig å si at samarbeid eller manipulasjon er umulig.
Et bedre forslag
Til syvende og sist kan forestillingen om en reversibel kryptoaktiva være velment, men er også helt unødvendig. Premisset introduserer mange nye kompleksiteter når det gjelder den faktiske integreringen i eksisterende systemer, og det er til og med forutsatt at plattformer ønsker å bruke det. Det er imidlertid andre måter å oppnå sikkerhet i det desentraliserte økosystemet på som ikke undergraver det som gjør kryptovaluta så kraftig til å begynne med.
For det første, revisjon av alle smarte kontraktskoder på løpende basis. Mange problemer i desentralisert finans (DeFi) oppstå fra utnyttelser som finnes i de underliggende smarte kontraktene. Omfattende og uavhengige sikkerhetsrevisjoner kan bidra til å finne hvor potensielle problemer eksisterer før disse protokollene utgis. Videre er det viktig å prøve å forstå hvordan flere kontrakter vil samhandle når de går live, siden noen problemer bare oppstår når de brukes i naturen.
Enhver utplassert kontrakt vil ha risikofaktorer som bør overvåkes og forsvares mot. Mange utviklingsteam har imidlertid ikke en robust sikkerhetsovervåkingsløsning på plass. Ofte kommer det første tegnet på at noe problematisk skjer fra en kjedediagnose. Massive eller uvanlige transaksjoner og andre uvanlige transaksjonsmønstre kan peke på et angrep som skjer i sanntid. Å kunne oppdage og forstå disse signalene er nøkkelen til å holde seg på toppen av dem.
Relatert: Bidens anemiske kryptorammeverk tilbød ikke noe nytt
Selvfølgelig må det også være et system for å dokumentere og registrere hendelser og formidle den viktigste informasjonen til de riktige enhetene. Noen varsler kan sendes til utviklerteamet og andre kan gjøres tilgjengelige for fellesskapet. Med et fellesskap informert på denne måten, kan bedre sikkerhet komme på en måte som er i tråd med den desentraliserte etosen i stedet for at den blir henvist til en funksjon av en rettslig kontroll.
La oss se tilbake på Ronin-hacket som et eksempel. Det tok hele seks dager før teamet bak prosjektet innså at et angrep hadde skjedd, og ble først oppmerksomme da en bruker klaget over at de ikke var i stand til å ta ut penger. Hvis sanntidsovervåking av nettverket hadde vært på plass, kunne et svar ha skjedd nesten umiddelbart når den første store, mistenkelige transaksjonen skjedde. I stedet la ingen merke til det på nesten en uke, noe som ga angriperen god tid til å fortsette å flytte midler og skjule historien deres.
Det virker ganske åpenbart at reversible tokens ikke ville ha hjulpet denne situasjonen mye, men overvåking kunne ha gjort det. Da det ble lagt merke til, hadde mange av de stjålne myntene blitt overført gjentatte ganger på tvers av lommebøker og børser. Kan alle disse transaksjonene bare reverseres? Kompleksitetene som er introdusert, så vel som mulige nye risikoer som skapes, betyr at denne bestrebelsen rett og slett ikke er verdt innsatsen. Spesielt når du tenker på at det allerede eksisterer kraftige mekanismer som kan tilby et tilsvarende nivå av sikkerhet og ansvarlighet.
I stedet for å rote med formelen som gjør krypto så kraftig, ville det være mye mer fornuftig å implementere omfattende og kontinuerlige sikkerhetsprosesser på tvers av Web3 slik at desentraliserte eiendeler forblir uforanderlige, men ikke ubeskyttede.
Stephen Lloyd Webber er en programvareingeniør og forfatter med mangfoldig erfaring i å forenkle komplekse situasjoner. Han er fascinert av åpen kildekode, desentralisering og alt på Ethereum-blokkjeden. Stephen jobber for tiden med produktmarkedsføring hos Open Zeppelin, et fremste selskap innen kryptocybersikkerhetsteknologi og -tjenester, og har en MFA i engelsk skrift fra New Mexico State University.
Denne artikkelen er for generell informasjonsformål og er ikke ment å være og skal ikke tas som juridisk eller investeringsråd. Synspunktene, tankene og meningene som uttrykkes her er forfatterens alene og gjenspeiler eller representerer ikke nødvendigvis synspunktene og meningene til Cointelegraph.
Kilde: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures