Οι χρήστες που χάνουν χρήματα λόγω κακόβουλης δραστηριότητας είναι σχεδόν άγνωστο στο Ethereum. Στην πραγματικότητα, αυτός είναι ακριβώς ο λόγος που οι ερευνητές ανέπτυξαν πρόσφατα μια πρόταση για την εισαγωγή ενός τύπου διακριτικού που είναι αναστρέψιμο σε περίπτωση χακαρίσματος ή άλλων δυσάρεστων συμπεριφορών.
Συγκεκριμένα, η πρόταση θα έβλεπε τη δημιουργία ενός ERC-20R και ERC-721R, που θα είναι τροποποιημένες εκδόσεις των προτύπων που διέπουν τόσο τα κανονικά διακριτικά Ethereum όσο και μη εύχρηστα διακριτικά (NFTs).
Η υπόθεση έχει ως εξής: αυτό το νέο πρότυπο θα επέτρεπε στους χρήστες να υποβάλλουν ένα «αίτημα παγώματος» σε πρόσφατες συναλλαγές που θα κλείνουν αυτά τα κεφάλαια έως ότου ένα «αποκεντρωμένο δικαστικό σύστημα» καθορίσει την εγκυρότητα της συναλλαγής. Και τα δύο μέρη θα μπορούσαν να παρουσιάσουν τα αποδεικτικά τους στοιχεία και οι δικαστές θα επιλέγονταν τυχαία από μια αποκεντρωμένη ομάδα για να ελαχιστοποιηθεί η συμπαιγνία.
Στο τέλος της διαδικασίας θα έβγαινε ετυμηγορία και είτε θα επέστρεφαν τα κεφάλαια είτε θα έμεναν εκεί που είναι. Η απόφαση αυτή θα είναι τότε οριστική και δεν υπόκειται σε περαιτέρω αμφισβήτηση. Αυτό θα άνοιγε μια πρακτική λεωφόρο για τα θύματα των hacks και άλλων κακόβουλων δραστηριοτήτων να πάρουν πίσω τα περιουσιακά τους στοιχεία με άμεσο και καθοδηγούμενο από την κοινότητα τρόπο.
Δυστυχώς, αυτό μπορεί κάλλιστα να είναι μια περιττή και τελικά επιβλαβής πρόταση. Ένας από τους ακρογωνιαίους λίθους της αποκεντρωμένης φιλοσοφίας είναι ότι οι συναλλαγές πηγαίνουν μόνο προς μία κατεύθυνση. Δεν μπορούν να αναιρεθούν σχεδόν σε καμία περίπτωση. Αυτή η νέα αλλαγή πρωτοκόλλου θα υπονόμευε αυτή τη θεμελιώδη αρχή και για να διορθώσει ό,τι δεν έχει παραβιαστεί.
Πώς λειτουργεί, λοιπόν, όταν ένας εισβολέας κλέβει το ERC-20R και εξαργυρώνει στο ETH μέσω ενός DEX στην ίδια συναλλαγή; Ή το ERC-20R θα είναι ασύμβατο με το τρέχον οικοσύστημα DeFi; https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) Σεπτέμβριος 25, 2022
Υπάρχει επίσης το γεγονός ότι ακόμη και η εφαρμογή τέτοιων διακριτικών θα ήταν ένας εφιάλτης υλικοτεχνικής υποστήριξης. Αν δεν μεταφερθεί κάθε πλατφόρμα στο νέο πρότυπο, τότε θα υπήρχαν τεράστια κενά στο σύστημα, που σημαίνει ότι οι κλέφτες θα μπορούσαν απλώς να ανταλλάξουν γρήγορα τα αναστρέψιμα περιουσιακά τους στοιχεία με μη αναστρέψιμα και να αποφύγουν εντελώς τις επιπτώσεις. Αυτό θα καθιστούσε ολόκληρο το περιουσιακό στοιχείο εντελώς άσκοπο και πολύ πιθανόν οι χρήστες απλώς να μην ασχοληθούν με αυτό.
Επιπλέον, η όλη ιδέα ενός δικαστικού ελέγχου συνεπάγεται συγκεντρωτισμό. Δεν είναι η ανεξαρτησία από τρίτο μέρος ακριβώς για το οποίο δημιουργήθηκε το κρυπτονόμισμα; Η υπάρχουσα πρόταση δεν είναι σαφής σχετικά με τον τρόπο επιλογής αυτών των κριτών, εκτός από το ότι θα είναι "τυχαία". Χωρίς το σύστημα να είναι πολύ προσεκτικά ισορροπημένο, είναι δύσκολο να πούμε ότι η συμπαιγνία ή η χειραγώγηση είναι αδύνατη.
Καλύτερη πρόταση
Τελικά, η ιδέα ενός αντιστρέψιμου περιουσιακού στοιχείου κρυπτογράφησης μπορεί να είναι καλοπροαίρετη αλλά είναι επίσης εντελώς περιττή. Η υπόθεση εισάγει πολλές νέες πολυπλοκότητες όσον αφορά την πραγματική της ενσωμάτωση σε υπάρχοντα συστήματα, και αυτό υποθέτει ακόμη και ότι οι πλατφόρμες θέλουν να το χρησιμοποιήσουν. Ωστόσο, υπάρχουν άλλοι τρόποι για την επίτευξη ασφάλειας στο αποκεντρωμένο οικοσύστημα που δεν υπονομεύουν αυτό που κάνει το κρυπτονομίσματα τόσο ισχυρό εξαρχής.
Πρώτον, έλεγχος όλων των κωδικών έξυπνων συμβολαίων σε συνεχή βάση. Πολλά προβλήματα σε αποκεντρωμένη χρηματοδότηση (DeFi) προκύπτουν από εκμεταλλεύσεις που υπάρχουν στα υποκείμενα έξυπνα συμβόλαια. Οι ολοκληρωμένοι και ανεξάρτητοι έλεγχοι ασφαλείας μπορούν να βοηθήσουν στον εντοπισμό πιθανών προβλημάτων πριν από την κυκλοφορία αυτών των πρωτοκόλλων. Επιπλέον, είναι σημαντικό να προσπαθήσετε να κατανοήσετε πώς θα αλληλεπιδρούν πολλαπλά συμβόλαια όταν βγαίνουν ζωντανά, καθώς ορισμένα ζητήματα προκύπτουν μόνο όταν χρησιμοποιούνται στη φύση.
Οποιαδήποτε αναπτυσσόμενη σύμβαση θα έχει παράγοντες κινδύνου από τους οποίους θα πρέπει να παρακολουθούνται και να προστατεύονται. Ωστόσο, πολλές ομάδες ανάπτυξης δεν διαθέτουν μια ισχυρή λύση παρακολούθησης της ασφάλειας. Συχνά, το πρώτο σημάδι ότι κάτι προβληματικό συμβαίνει προέρχεται από μια διάγνωση on-chain. Μαζικές ή ασυνήθιστες συναλλαγές και άλλα ασυνήθιστα μοτίβα συναλλαγών μπορεί να υποδηλώνουν μια επίθεση που συμβαίνει σε πραγματικό χρόνο. Το να μπορείτε να εντοπίσετε και να κατανοήσετε αυτά τα σήματα είναι το κλειδί για να παραμείνετε στην κορυφή τους.
Συγγενεύων: Το αναιμικό πλαίσιο κρυπτογράφησης του Μπάιντεν δεν πρόσφερε τίποτα καινούργιο
Φυσικά, πρέπει επίσης να υπάρχει ένα σύστημα για την τεκμηρίωση και την καταγραφή γεγονότων και τη διαβίβαση των πιο σημαντικών πληροφοριών στις σωστές οντότητες. Ορισμένες ειδοποιήσεις μπορούν να σταλούν στην ομάδα προγραμματιστών και άλλες μπορούν να διατεθούν στην κοινότητα. Με μια κοινότητα έτσι ενημερωμένη, μπορεί να υπάρξει καλύτερη ασφάλεια με τρόπο που να ευθυγραμμίζεται με το αποκεντρωμένο ήθος αντί να υποβιβάζεται σε λειτουργία δικαστικού ελέγχου.
Ας ανατρέξουμε στο hack του Ronin ως παράδειγμα. Χρειάστηκαν έξι ολόκληρες ημέρες για να συνειδητοποιήσει η ομάδα πίσω από το έργο ότι είχε συμβεί μια επίθεση, αλλά αντιλήφθηκε μόνο όταν ένας χρήστης παραπονέθηκε ότι δεν μπορούσε να κάνει ανάληψη χρημάτων. Εάν υπήρχε παρακολούθηση του δικτύου σε πραγματικό χρόνο, μια απόκριση θα μπορούσε να είχε συμβεί σχεδόν αμέσως όταν συνέβη η πρώτη μεγάλη, ύποπτη συναλλαγή. Αντίθετα, κανείς δεν το πρόσεξε για σχεδόν μια εβδομάδα, δίνοντας στον επιτιθέμενο άφθονο χρόνο για να συνεχίσει να μετακινεί κεφάλαια και να κρύβει την ιστορία του.
Φαίνεται αρκετά προφανές ότι τα αναστρέψιμα διακριτικά δεν θα είχαν βοηθήσει πολύ αυτήν την κατάσταση, αλλά η παρακολούθηση θα μπορούσε να το βοηθήσει. Μέχρι να γίνει αντιληπτό, πολλά από τα κλεμμένα νομίσματα είχαν μεταφερθεί επανειλημμένα σε πορτοφόλια και ανταλλακτήρια. Θα μπορούσαν απλώς να αντιστραφούν όλες αυτές οι συναλλαγές; Οι πολυπλοκότητες που εισάγονται, καθώς και οι πιθανοί νέοι κίνδυνοι που δημιουργούνται, σημαίνουν ότι αυτή η προσπάθεια απλά δεν αξίζει τον κόπο. Ειδικά αν σκεφτεί κανείς ότι υπάρχουν ήδη ισχυροί μηχανισμοί που μπορούν να προσφέρουν παρόμοιο επίπεδο ασφάλειας και λογοδοσίας.
Αντί να μπλέκουμε με τη φόρμουλα που κάνει την κρυπτογράφηση τόσο ισχυρή, θα ήταν πολύ πιο λογικό να εφαρμόζουμε ολοκληρωμένες και συνεχείς διαδικασίες ασφαλείας στο Web3, έτσι ώστε τα αποκεντρωμένα περιουσιακά στοιχεία να παραμένουν αμετάβλητα αλλά όχι απροστάτευτα.
Stephen Lloyd Webber είναι μηχανικός λογισμικού και συγγραφέας με ποικίλη εμπειρία στην απλοποίηση σύνθετων καταστάσεων. Γοητεύεται από το ανοιχτό κώδικα, την αποκέντρωση και οτιδήποτε αφορά το blockchain Ethereum. Ο Stephen εργάζεται επί του παρόντος στο μάρκετινγκ προϊόντων στο Open Zeppelin, μια κορυφαία εταιρεία τεχνολογίας και υπηρεσιών στον τομέα της ασφάλειας στον κυβερνοχώρο, και έχει MFA στην αγγλική γραφή από το New Mexico State University.
Αυτό το άρθρο είναι για σκοπούς γενικής πληροφόρησης και δεν προορίζεται και δεν πρέπει να εκληφθεί ως νομική ή επενδυτική συμβουλή. Οι απόψεις, οι σκέψεις και οι απόψεις που εκφράζονται εδώ είναι αποκλειστικά του συγγραφέα και δεν αντικατοπτρίζουν ούτε αντιπροσωπεύουν απαραίτητα τις απόψεις και τις απόψεις της Cointelegraph.
Πηγή: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures