A rosszindulatú tevékenység miatt pénzvesztést okozó felhasználók aligha ismeretlenek az Ethereumon. Valójában ez az oka annak, hogy a kutatók nemrégiben javaslatot dolgoztak ki egy olyan típusú token bevezetésére, amely feltörés vagy más kellemetlen viselkedés esetén visszafordítható.
A javaslat konkrétan egy ERC-20R és ERC-721R létrehozását jelentené, amelyek a szabványok módosított változatai lennének, amelyek mind a szokásos Ethereum tokeneket, mind pedig nem futtatható tokenek (NFT-k).
A feltevés a következő: ez az új szabvány lehetővé tenné a felhasználók számára, hogy „befagyasztási kérelmet” tegyenek a legutóbbi tranzakciókra vonatkozóan, amely zárolja ezeket az alapokat mindaddig, amíg a „decentralizált igazságszolgáltatási rendszer” meg nem állapítja a tranzakció érvényességét. Mindkét fél bemutathatná bizonyítékait, a bírákat pedig véletlenszerűen választanák ki egy decentralizált csoportból, hogy minimálisra csökkentsék az összejátszást.
A folyamat végén ítélet születik, és vagy visszaadják a pénzeszközöket, vagy ott maradnak, ahol vannak. Ez a határozat akkor végleges, és nem lesz további vitás. Ez gyakorlati lehetőséget nyitna a feltörések és más rosszindulatú tevékenységek áldozatai számára, hogy közvetlen és közösségvezérelt módon visszakapják vagyonukat.
Sajnos ez egy szükségtelen és végső soron káros javaslat lehet. A decentralizált filozófia egyik sarokköve, hogy a tranzakciók csak egy irányba mennek. Gyakorlatilag semmilyen körülmények között nem vonhatók vissza. Ez az új protokollmódosítás aláásná ezt az alapvető előírást, és megjavítaná azt, ami nem sérti meg.
Tehát hogyan működik ez, amikor egy támadó ellopja az ERC-20R-t, és ugyanabban a tranzakcióban DEX-en keresztül készpénzt fizet az ETH-nak? Vagy az ERC-20R nem lesz kompatibilis a jelenlegi DeFi ökoszisztémával? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) 25. szeptember 2022.
Az is tény, hogy még az ilyen tokenek bevezetése is logisztikai rémálom lenne. Hacsak nem térnek át minden egyes platform az új szabványra, akkor hatalmas hiányosságok lennének a rendszerben, ami azt jelenti, hogy a tolvajok egyszerűen gyorsan lecserélhetik visszafordítható eszközeiket nem visszafordíthatókra, és teljesen elkerülhetik a következményeket. Ez teljesen értelmetlenné tenné az egész eszközt, és több mint valószínű, hogy a felhasználók egyszerűen nem foglalkoznának vele.
Ezen túlmenően a bírósági felülvizsgálat egésze központosítást foglal magában. Nem a harmadik féltől való függetlenség az, amiért a kriptovalutát létrehozták? A jelenlegi javaslat nem világos, hogyan választják ki ezeket a bírákat, azon kívül, hogy „véletlen” lesz. A rendszer gondosan kiegyensúlyozottsága nélkül nehéz azt mondani, hogy az összejátszás vagy a manipuláció lehetetlen.
Jobb javaslat
Végső soron a visszafordítható kriptoeszköz fogalma jó szándékú lehet, de teljesen szükségtelen is. Az előfeltevés sok új bonyolultságot vezet be a meglévő rendszerekbe való tényleges integrációja szempontjából, és ez még azt is feltételezi, hogy a platformok ki akarják használni. Vannak azonban más módszerek is a biztonság elérésére a decentralizált ökoszisztémában, amelyek nem ássák alá azt, ami a kriptovalutát kezdetben olyan erőssé teszi.
Egyrészt az összes intelligens szerződési kód folyamatos auditálása. Sok probléma benne decentralizált pénzügy (DeFi) az alapul szolgáló intelligens szerződésekben jelen lévő kihasználásokból erednek. Átfogó és független biztonsági auditok segíthetnek megtalálni a lehetséges problémákat, mielőtt ezek a protokollok megjelennének. Ezenkívül fontos megpróbálni megérteni, hogyan működik együtt több szerződés, amikor életbe lépnek, mivel bizonyos problémák csak akkor merülnek fel, ha vadon használják őket.
Minden telepített szerződésnek vannak olyan kockázati tényezői, amelyeket figyelni kell, és ellenük védekezni kell. Sok fejlesztőcsapat azonban nem rendelkezik robusztus biztonsági megfigyelési megoldással. Gyakran az első jele annak, hogy valami probléma történik, a láncon belüli diagnózisból származik. A tömeges vagy szokatlan tranzakciók és más szokatlan tranzakciós minták valós időben történő támadásra utalhatnak. Az, hogy képesek legyünk észrevenni és megérteni ezeket a jeleket, kulcsfontosságúak ahhoz, hogy rajtuk maradjunk.
Kapcsolódó: Biden vérszegény titkosítási keretrendszere semmi újat nem kínált
Természetesen szükség van egy rendszerre is az események dokumentálására és rögzítésére, valamint a legfontosabb információk kommunikálására a megfelelő entitásokkal. Egyes figyelmeztetések elküldhetők a fejlesztői csapatnak, mások pedig elérhetővé tehetők a közösség számára. Ha egy közösség így tájékozott, a jobb biztonság a decentralizált ethoszhoz igazodó módon jöhet létre, ahelyett, hogy bírósági felülvizsgálatra helyezné.
Példaként tekintsünk vissza a Ronin hackre. Teljes hat napba telt, mire a projekt mögött álló csapat rájött, hogy támadás történt, és csak akkor vették észre, amikor egy felhasználó panaszkodott, hogy nem tud pénzt kivenni. Ha a hálózat valós idejű felügyelete működött volna, a válasz szinte azonnal megtörténhetett volna, amikor az első nagy, gyanús tranzakció megtörtént. Ehelyett majdnem egy hétig senki sem vette észre, így a támadónak elegendő ideje maradt, hogy folytassa az alapok mozgatását, és elhomályosítsa történetét.
Eléggé nyilvánvalónak tűnik, hogy a visszafordítható tokenek nem sokat segítettek volna ezen a helyzeten, de a megfigyelés igen. Mire észrevették, sok ellopott érme többször is átkerült pénztárcákon és pénzváltókon. Mindezeket a tranzakciókat egyszerűen vissza lehet fordítani? A bevezetett bonyolultságok, valamint az esetlegesen felmerülő új kockázatok azt jelentik, hogy ez a törekvés egyszerűen nem éri meg az erőfeszítést. Különösen, ha figyelembe vesszük, hogy már léteznek olyan hatékony mechanizmusok, amelyek hasonló szintű biztonságot és elszámoltathatóságot kínálnak.
Ahelyett, hogy a titkosítást oly erőssé tevő formulával vacakolnánk, sokkal értelmesebb lenne átfogó és folyamatos biztonsági folyamatokat megvalósítani a Web3-on, hogy a decentralizált eszközök változhatatlanok maradjanak, de ne legyenek védtelenek.
Stephen Lloyd Webber szoftvermérnök és szerző, aki sokrétű tapasztalattal rendelkezik a bonyolult helyzetek egyszerűsítésében. Lenyűgözi a nyílt forráskód, a decentralizáció és minden az Ethereum blokkláncon. Stephen jelenleg a termékmarketing területén dolgozik az Open Zeppelinnél, egy vezető kriptográfiai kiberbiztonsági technológiai és szolgáltatási vállalatnál, és angol nyelvű MFA-t szerzett a New Mexico State University-n.
Ez a cikk általános tájékoztatási célokat szolgál, és nem célja, és nem is szabad jogi vagy befektetési tanácsnak tekinteni. Az itt kifejtett nézetek, gondolatok és vélemények kizárólag a szerző sajátjai, és nem feltétlenül tükrözik vagy képviselik a Cointelegraph nézeteit és véleményét.
Forrás: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures