Потребителите, които губят средства поради злонамерена дейност, едва ли са непознати за Ethereum. Всъщност това е самата причина изследователите наскоро да разработят предложение за въвеждане на тип токен, който е обратим в случай на хак или друго неприятно поведение.
По-конкретно, предложението ще види създаването на ERC-20R и ERC-721R, които ще бъдат модифицирани версии на стандартите, които управляват както обикновените Ethereum токени, така и незаменими токени (NFT).
Предпоставката е следната: този нов стандарт ще позволи на потребителите да направят „заявка за замразяване“ на скорошни транзакции, която ще заключи тези средства, докато „децентрализирана съдебна система“ определи валидността на транзакцията. И на двете страни ще бъде позволено да представят своите доказателства, а съдиите ще бъдат избрани на случаен принцип от децентрализиран пул, за да се сведе до минимум тайното споразумение.
В края на процеса щяла да бъде постановена присъда и или средствата щяха да бъдат върнати, или щяха да останат там, където са. Тогава това решение ще бъде окончателно и няма да подлежи на повече спорове. Това би отворило практически път за жертвите на хакове и други злонамерени дейности да си върнат активите по директен и управляван от общността начин.
За съжаление, това може да се окаже ненужно и в крайна сметка вредно предложение. Един от крайъгълните камъни на децентрализираната философия е, че транзакциите вървят само в една посока. Те не могат да бъдат отменени при практически никакви обстоятелства. Тази нова промяна на протокола ще подкопае това основно правило и ще поправи това, което не е счупено.
И така, как работи това, когато нападател открадне ERC-20R и тегли към ETH чрез DEX в същата транзакция? Или ERC-20R ще бъде несъвместим с текущата DeFi екосистема? https://t.co/n5pN82ZBBe
— Роман Семенов ️ (@semenov_roman_) Септември 25, 2022
Съществува и фактът, че дори внедряването на такива токени би било логистичен кошмар. Освен ако всяка отделна платформа не премине към новия стандарт, тогава ще има огромни пропуски в системата, което означава, че крадците могат просто бързо да сменят обратимите си активи с необратими и да избегнат напълно последствията. Това би направило целия актив напълно безсмислен и повече от вероятно потребителите просто няма да се ангажират с него.
Освен това цялата идея за съдебен контрол предполага централизация. Не е ли независимостта от трета страна точното нещо, за което е създадена криптовалутата? Съществуващото предложение не е ясно как се избират тези съдии, освен че ще бъде „на случаен принцип“. Без системата да е много внимателно балансирана, трудно е да се каже, че тайното споразумение или манипулацията са невъзможни.
По-добро предложение
В крайна сметка идеята за обратим крипто актив може да е добронамерена, но е и напълно ненужна. Предпоставката въвежда много нови сложности по отношение на нейната действителна интеграция в съществуващи системи и това дори предполага, че платформите искат да я използват. Въпреки това има други начини за постигане на сигурност в децентрализираната екосистема, които не подкопават това, което прави криптовалутата толкова мощна като начало.
От една страна, текущ одит на всички кодове на интелигентни договори. Много проблеми в децентрализирани финанси (DeFi) възникват от експлойти, присъстващи в основните интелигентни договори. Изчерпателните и независими одити на сигурността могат да помогнат да се открие къде съществуват потенциални проблеми, преди тези протоколи да бъдат пуснати. Освен това е важно да се опитате да разберете как множество договори ще си взаимодействат заедно, когато станат активни, тъй като някои проблеми възникват само когато се използват в природата.
Всеки разгърнат договор ще има рискови фактори, които трябва да се наблюдават и да се защитават срещу тях. Много екипи за разработка обаче не разполагат със стабилно решение за наблюдение на сигурността. Често първият знак, че се случва нещо проблемно, идва от диагностика по веригата. Масови или необичайни транзакции и други необичайни модели на транзакции могат да сочат към атака, която се случва в реално време. Да можеш да забележиш и разбереш тези сигнали е от ключово значение, за да останеш в крак с тях.
Свързани: Анемичната крипто рамка на Байдън не предложи нищо ново
Разбира се, трябва да има и система за документиране и записване на събития и предаване на най-важната информация на правилните субекти. Някои сигнали могат да бъдат изпратени до екипа на разработчиците, а други могат да бъдат предоставени на общността. С по този начин информирана общност, по-добрата сигурност може да дойде по начин, който е в съответствие с децентрализирания етос, вместо да бъде понижена до функция на съдебен контрол.
Нека погледнем назад към хака на Ronin като пример. Отне цели шест дни на екипа зад проекта да разбере, че е извършена атака, като разбра едва когато потребител се оплака, че не може да изтегли средства. Ако беше налице наблюдение в реално време на мрежата, отговорът можеше да се случи почти мигновено, когато се случи първата голяма подозрителна транзакция. Вместо това никой не забеляза почти седмица, което даде на нападателя достатъчно време да продължи да премества средства и да замъглява тяхната история.
Изглежда доста очевидно, че обратимите токени не биха помогнали много за тази ситуация, но мониторингът би могъл. По времето, когато беше забелязано, много от откраднатите монети бяха прехвърляни многократно през портфейли и борси. Могат ли всички тези транзакции просто да бъдат отменени? Въведените усложнения, както и евентуално създадените нови рискове, означават, че това начинание просто не си струва усилията. Особено като вземете предвид, че вече съществуват мощни механизми, които могат да предложат подобно ниво на сигурност и отчетност.
Вместо да се забърквате с формулата, която прави криптовалутата толкова мощна, би било много по-смислено да се внедрят цялостни и непрекъснати процеси за сигурност в Web3, така че децентрализираните активи да останат неизменни, но не и незащитени.
Стивън Лойд Уебър е софтуерен инженер и автор с разнообразен опит в опростяването на сложни ситуации. Той е очарован от отворения код, децентрализацията и всичко в блокчейна Ethereum. В момента Стивън работи в областта на продуктовия маркетинг в Open Zeppelin, водеща компания за технологии и услуги за крипто киберсигурност, и има магистърска степен по английски език от държавния университет в Ню Мексико.
Тази статия е с цел обща информация и не е предназначена да бъде и не трябва да се приема като правен или инвестиционен съвет. Възгледите, мислите и мненията, изразени тук, са само на автора и не отразяват непременно възгледите и мненията на Cointelegraph.
Източник: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures