Utilizatorii care pierd fonduri din cauza activității rău intenționate sunt aproape necunoscuti pe Ethereum. De fapt, tocmai acesta este motivul pentru care cercetătorii au dezvoltat recent o propunere de a introduce un tip de token care este reversibil în cazul unui hack sau al altor comportamente neplacute.
Mai exact, sugestia ar avea ca rezultat crearea unui ERC-20R și ERC-721R, care ar fi versiuni modificate ale standardelor care guvernează atât jetoanele Ethereum obișnuite, cât și jetoane nefungibile (NFT).
Premisa este astfel: acest nou standard ar permite utilizatorilor să facă o „cerere de înghețare” a tranzacțiilor recente care ar bloca acele fonduri până când un „sistem judiciar descentralizat” va determina validitatea tranzacției. Ambele părți ar avea voie să-și prezinte dovezile, iar judecătorii ar fi aleși la întâmplare dintr-un grup descentralizat pentru a minimiza coluziunea.
La sfârșitul procesului, s-ar ajunge la un verdict și fie fondurile ar fi returnate, fie ar rămâne acolo unde sunt. Această decizie ar fi apoi definitivă și nu va fi supusă nicio contestație. Acest lucru ar deschide o cale practică pentru victimele hackurilor și a altor activități rău intenționate de a-și recupera bunurile într-un mod direct și condus de comunitate.
Din păcate, aceasta poate fi o propunere inutilă și, în cele din urmă, dăunătoare. Una dintre pietrele de temelie ale filozofiei descentralizate este că tranzacțiile merg într-o singură direcție. Ele nu pot fi anulate practic în nicio circumstanță. Această nouă schimbare de protocol ar submina acel precept fundamental și pentru a remedia ceea ce nu este încălcat.
Deci, cum funcționează acest lucru atunci când un atacator fură ERC-20R și încasează la ETH prin intermediul unui DEX în aceeași tranzacție? Sau ERC-20R va fi incompatibil cu actualul ecosistem DeFi? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) 25 Septembrie, 2022
Mai este și faptul că chiar și implementarea unor astfel de jetoane ar fi un coșmar logistic. Dacă fiecare platformă nu trece la noul standard, atunci ar exista lacune uriașe în sistem, ceea ce înseamnă că hoții ar putea pur și simplu să-și schimbe rapid activele reversibile cu cele nereversibile și să evite complet repercusiunile. Acest lucru ar face întregul activ complet inutil și, mai mult decât probabil, utilizatorii pur și simplu nu s-ar implica cu el.
În plus, întreaga idee de control judiciar implică centralizarea. Nu este independența față de o terță parte exact pentru care a fost creată criptomoneda? Propunerea existentă nu este clară cu privire la modul în care acești judecători sunt aleși, cu excepția faptului că va fi „aleatorie”. Fără ca sistemul să fie foarte atent echilibrat, este greu de spus că coluziunea sau manipularea este imposibilă.
O propunere mai bună
În cele din urmă, noțiunea de criptoactiv reversibil poate fi bine intenționată, dar este, de asemenea, complet inutilă. Premisa introduce multe noi complexități în ceea ce privește integrarea sa reală în sistemele existente și asta chiar presupune că platformele doresc să o utilizeze. Cu toate acestea, există și alte modalități de a obține securitatea în ecosistemul descentralizat care nu subminează ceea ce face ca criptomoneda să fie atât de puternică pentru început.
În primul rând, auditarea tuturor codurilor de contracte inteligente în mod continuu. Multe probleme în finanțe descentralizate (DeFi) rezultă din exploit-urile prezente în contractele inteligente subiacente. Auditurile de securitate cuprinzătoare și independente pot ajuta la identificarea unde există probleme potențiale înainte de lansarea acestor protocoale. În plus, este important să încercați să înțelegeți cum vor interacționa mai multe contracte împreună atunci când vor fi puse în aplicare, deoarece unele probleme apar doar atunci când sunt folosite în sălbăticie.
Orice contract desfășurat va avea factori de risc de care ar trebui monitorizați și protejați. Cu toate acestea, multe echipe de dezvoltare nu au o soluție robustă de monitorizare a securității. Adesea, primul semn că se întâmplă ceva problematic vine de la un diagnostic în lanț. Tranzacțiile masive sau neobișnuite și alte modele de tranzacții neobișnuite pot indica un atac care are loc în timp real. A fi capabil să identifice și să înțeleagă aceste semnale este cheia pentru a rămâne în fruntea lor.
Related: Cadrul cripto anemic al lui Biden nu a oferit nimic nou
Desigur, trebuie să existe și un sistem de documentare și înregistrare a evenimentelor și de comunicare a celor mai importante informații către entitățile corecte. Unele alerte pot fi trimise echipei de dezvoltatori, iar altele pot fi puse la dispoziția comunității. Cu o comunitate astfel informată, o securitate mai bună poate veni într-un mod care să se alinieze cu etosul descentralizat, mai degrabă decât să fie relegat la o funcție de control judiciar.
Să ne uităm înapoi la hack-ul Ronin ca exemplu. A fost nevoie de șase zile pentru ca echipa din spatele proiectului să realizeze că a avut loc un atac, devenind conștientă doar atunci când un utilizator s-a plâns că nu poate retrage fonduri. Dacă ar fi existat monitorizarea în timp real a rețelei, un răspuns ar fi putut avea loc aproape instantaneu atunci când a avut loc prima tranzacție mare, suspectă. În schimb, nimeni nu a observat timp de aproape o săptămână, dând atacatorului timp suficient pentru a continua să mute fonduri și să-și ascundă istoria.
Pare destul de evident că jetoanele reversibile nu ar fi ajutat prea mult această situație, dar monitorizarea ar fi putut. Până când a fost observat, multe dintre monedele furate au fost transferate în mod repetat prin portofele și schimburi. Toate aceste tranzacții ar putea fi doar inversate? Complexitățile introduse, precum și posibilele noi riscuri create, înseamnă că acest efort pur și simplu nu merită efortul. Mai ales când te gândești că există deja mecanisme puternice care pot oferi un nivel similar de securitate și responsabilitate.
În loc să te joci cu formula care face cripto-ul atât de puternic, ar fi mult mai logic să implementezi procese de securitate cuprinzătoare și continue pe Web3, astfel încât activele descentralizate să rămână imuabile, dar nu neprotejate.
Stephen Lloyd Webber este un inginer software și autor cu experiență diversă în simplificarea situațiilor complexe. El este fascinat de sursa deschisă, descentralizare și orice de pe blockchain-ul Ethereum. Stephen lucrează în prezent în marketingul de produse la Open Zeppelin, o companie de top în domeniul tehnologiei și serviciilor de criptosecuritate cibernetică și are un masterat în limba engleză de la Universitatea de Stat din New Mexico.
Acest articol are scop informativ general și nu este destinat și nu ar trebui să fie luat drept sfaturi juridice sau de investiții. Părerile, gândurile și opiniile exprimate aici sunt exclusiv ale autorului și nu reflectă sau reprezintă neapărat punctele de vedere și opiniile Cointelegraph.
Sursa: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures