Vývojári mohli zabrániť hackom kryptomien v roku 2022, ak by prijali základné bezpečnostné opatrenia

Používatelia, ktorí prídu o finančné prostriedky v dôsledku škodlivých aktivít, nie sú na Ethereu takmer neznáme. V skutočnosti je to práve dôvod, prečo výskumníci nedávno vyvinuli návrh na zavedenie typu tokenu, ktorý je reverzibilný v prípade hacknutia alebo iného nepríjemného správania. 

Návrh by konkrétne znamenal vytvorenie ERC-20R a ERC-721R, čo by boli upravené verzie štandardov, ktorými sa riadia bežné tokeny Ethereum a nezameniteľné tokeny (NFT).

Predpoklad je takýto: tento nový štandard by používateľom umožnil podať „požiadavku na zmrazenie“ nedávnych transakcií, čím by sa tieto prostriedky uzamkli, kým „decentralizovaný súdny systém“ nestanoví platnosť transakcie. Obom stranám by bolo umožnené predložiť svoje dôkazy a sudcovia by boli vybraní náhodne z decentralizovaného súboru, aby sa minimalizovali tajné dohody.

Na konci procesu by padol verdikt a prostriedky by sa buď vrátili, alebo by zostali tam, kde sú. Toto rozhodnutie by potom bolo konečné a nepodliehalo by žiadnym ďalším sporom. To by otvorilo praktickú cestu pre obete hackingov a iných škodlivých aktivít, ako získať späť svoje aktíva priamym a komunitným spôsobom.

Bohužiaľ, toto môže byť zbytočný a v konečnom dôsledku škodlivý návrh. Jedným zo základných kameňov decentralizovanej filozofie je, že transakcie idú len jedným smerom. Nedajú sa vrátiť späť prakticky za žiadnych okolností. Táto nová zmena protokolu by podkopala toto základné pravidlo a napravila by to, čo nie je porušené.

Ako to teda funguje, keď útočník ukradne ERC-20R a vyberie peniaze do ETH prostredníctvom DEX v rovnakej transakcii? Alebo bude ERC-20R nekompatibilný so súčasným ekosystémom DeFi? https://t.co/n5pN82ZBBe

— Roman Semenov ️ (@semenov_roman_) September 25, 2022

Je tu tiež skutočnosť, že aj implementácia takýchto tokenov by bola logistickou nočnou morou. Pokiaľ by každá platforma neprešla na nový štandard, potom by v systéme boli obrovské medzery, čo znamená, že zlodeji by mohli jednoducho rýchlo vymeniť svoje reverzibilné aktíva za nevratné a úplne sa vyhnúť následkom. To by spôsobilo, že celé aktívum by bolo úplne zbytočné a používatelia by s ním s najväčšou pravdepodobnosťou jednoducho neinteragovali.

Okrem toho celá myšlienka súdneho preskúmania zahŕňa centralizáciu. Nie je nezávislosť od tretej strany presne to, na čo bola kryptomena vytvorená? Existujúci návrh nie je jasný, ako sa títo sudcovia vyberajú, okrem toho, že to bude „náhodné“. Bez toho, aby bol systém veľmi starostlivo vyvážený, je ťažké povedať, že tajná dohoda alebo manipulácia sú nemožné.

Lepší návrh

V konečnom dôsledku môže byť myšlienka reverzibilného krypto aktíva dobre mienená, ale je tiež úplne zbytočná. Premisa prináša mnoho nových zložitostí, pokiaľ ide o jej skutočnú integráciu do existujúcich systémov, a to aj za predpokladu, že ju platformy chcú využívať. Existujú však aj iné spôsoby, ako dosiahnuť bezpečnosť v decentralizovanom ekosystéme, ktoré nepodkopávajú to, čo robí kryptomeny tak silnými na začiatok.

Po prvé, priebežné auditovanie všetkých kódov inteligentných zmlúv. Veľa problémov v decentralizované financovanie (DeFi) vyplývajú z exploitov prítomných v základných smart kontraktoch. Komplexné a nezávislé bezpečnostné audity môžu pomôcť nájsť potenciálne problémy pred vydaním týchto protokolov. Okrem toho je dôležité pokúsiť sa pochopiť, ako budú viaceré zmluvy spolu interagovať, keď sa zverejnia, pretože niektoré problémy vznikajú len vtedy, keď sa používajú vo voľnej prírode.

Každý nasadený kontrakt bude mať rizikové faktory, ktoré by sa mali monitorovať a brániť sa proti nim. Mnohé vývojové tímy však nemajú zavedené robustné riešenie monitorovania bezpečnosti. Prvým znakom, že sa deje niečo problematické, často prichádza diagnostika na reťazci. Masívne alebo nezvyčajné transakcie a iné neobvyklé vzory transakcií môžu poukazovať na útok, ktorý sa deje v reálnom čase. Schopnosť rozpoznať a porozumieť týmto signálom je kľúčom k tomu, aby ste nad nimi zostali.

Súvisiace: Bidenov anemický kryptografický rámec neponúkol nič nové

Samozrejme, musí existovať aj systém na dokumentovanie a zaznamenávanie udalostí a oznamovanie najdôležitejších informácií správnym subjektom. Niektoré upozornenia môžu byť odoslané vývojárskemu tímu a iné môžu byť sprístupnené komunite. S takto informovanou komunitou môže prísť lepšia bezpečnosť spôsobom, ktorý je v súlade s decentralizovaným étosom, a nie byť odkázaný na funkciu súdneho preskúmania.

Pozrime sa späť na Ronin hack ako príklad. Tímu stojacemu za projektom trvalo celých šesť dní, kým si uvedomil, že došlo k útoku, pričom sa o tom dozvedel až vtedy, keď sa používateľ sťažoval, že nemôže vybrať prostriedky. Ak by bolo zavedené monitorovanie siete v reálnom čase, odpoveď by mohla nastať takmer okamžite, keď došlo k prvej veľkej, podozrivej transakcii. Namiesto toho si to takmer týždeň nikto nevšimol, čo útočníkovi poskytlo dostatok času na to, aby pokračoval v presúvaní finančných prostriedkov a zahmlievaní svojej histórie.

Zdá sa celkom zrejmé, že reverzibilné tokeny by tejto situácii príliš nepomohli, ale monitorovanie by áno. V čase, keď si to všimli, mnohé z ukradnutých mincí boli opakovane prevedené cez peňaženky a burzy. Mohli by byť všetky tieto transakcie jednoducho stornované? Zavedené zložitosti, ako aj možné nové riziká znamenajú, že toto úsilie jednoducho nestojí za námahu. Najmä ak si uvedomíte, že už existujú silné mechanizmy, ktoré môžu ponúknuť podobnú úroveň bezpečnosti a zodpovednosti.

Namiesto toho, aby sme sa zaoberali vzorcom, ktorý robí kryptomeny tak silnými, dávalo by oveľa väčší zmysel implementovať komplexné a nepretržité bezpečnostné procesy v rámci Web3, aby decentralizované aktíva zostali nemenné, ale nie nechránené.

Tento článok slúži na všeobecné informačné účely a nie je určený a nemal by byť braný ako právne alebo investičné poradenstvo. Názory, myšlienky a názory vyjadrené tu patria výlučne autorovi a nemusia nevyhnutne odrážať alebo reprezentovať názory a názory Cointelegraphu.