Розробники могли б запобігти злому crypto 2022, якби вжили елементарних заходів безпеки

Користувачі, які втрачають кошти через зловмисну ​​діяльність, майже невідомі в Ethereum. Фактично, саме тому дослідники нещодавно розробили пропозицію запровадити тип маркера, який є оборотним у разі злому чи іншої неприємної поведінки. 

Зокрема, пропозиція передбачатиме створення ERC-20R та ERC-721R, які будуть модифікованими версіями стандартів, що регулюють як звичайні токени Ethereum, так і немислимі токени (NFT).

Передумова виглядає так: цей новий стандарт дозволить користувачам робити «запит на заморожування» останніх транзакцій, який блокуватиме ці кошти, доки «децентралізована судова система» не визначить дійсність транзакції. Обом сторонам буде дозволено представити свої докази, а суддів буде обрано випадковим чином із децентралізованого пулу, щоб мінімізувати змову.

Наприкінці процесу винесли б вердикт і або повернули б кошти, або вони залишилися б там, де є. Тоді це рішення буде остаточним і не підлягатиме подальшому оскарженню. Це відкриє практичний шлях для жертв хакерів та інших зловмисних дій отримати назад свої активи прямим і орієнтованим на спільноту способом.

На жаль, це цілком може виявитися непотрібною та зрештою шкідливою пропозицією. Одним із наріжних каменів децентралізованої філософії є ​​те, що транзакції йдуть лише в одному напрямку. Їх не можна скасувати практично ні за яких обставин. Ця нова зміна протоколу підірвала б цю фундаментальну заповідь і виправила те, що не було зламано.

Отже, як це працює, коли зловмисник викрадає ERC-20R і перераховує ETH через DEX у тій самій транзакції? Або ERC-20R буде несумісним із поточною екосистемою DeFi? https://t.co/n5pN82ZBBe

— Роман Семенов ️ (@semenov_roman_) Вересень 25, 2022

Існує також той факт, що навіть впровадження таких токенів було б логістичним кошмаром. Якщо кожна окрема платформа не перейде на новий стандарт, тоді в системі будуть величезні прогалини, а це означає, що злодії зможуть просто швидко поміняти свої оборотні активи на незворотні та повністю уникнути наслідків. Це зробило б весь актив абсолютно безглуздим, і, швидше за все, користувачі просто не задіяли б його.

Крім того, вся ідея судового перегляду передбачає централізацію. Хіба незалежність від третьої сторони не те, для чого була створена криптовалюта? Існуюча пропозиція не чітко визначає, як ці судді обираються, крім того, що це буде «випадковим». Без ретельного балансування системи важко сказати, що змова чи маніпулювання неможливі.

Краща пропозиція

Зрештою, поняття оборотного криптоактиву може бути з добрими намірами, але також абсолютно непотрібним. Передумова вводить багато нових складнощів з точки зору його фактичної інтеграції в існуючі системи, і це навіть припускаючи, що платформи хочуть його використовувати. Однак існують інші способи досягнення безпеки в децентралізованій екосистемі, які не підривають те, що робить криптовалюту такою потужною.

По-перше, постійний аудит усіх кодів смарт-контрактів. Багато проблем в децентралізовані фінанси (DeFi) виникають через експлойти, наявні в основних смарт-контрактах. Комплексні та незалежні перевірки безпеки можуть допомогти виявити потенційні проблеми ще до випуску цих протоколів. Крім того, важливо спробувати зрозуміти, як кілька контрактів взаємодіятимуть разом, коли вони будуть активовані, оскільки деякі проблеми виникають лише тоді, коли вони використовуються в дикій природі.

Будь-який розгорнутий контракт матиме фактори ризику, які слід контролювати та захищати від них. Однак багато команд розробників не мають надійного рішення для моніторингу безпеки. Часто першою ознакою того, що сталася якась проблема, є діагностика в мережі. Масові або незвичайні транзакції та інші незвичайні моделі транзакцій можуть вказувати на атаку, яка відбувається в режимі реального часу. Здатність помічати та розуміти ці сигнали є ключовою для того, щоб бути в курсі.

За темою: Анемічна криптосистема Байдена не запропонувала нічого нового

Звичайно, також потрібна система для документування та запису подій і передачі найважливішої інформації потрібним особам. Деякі сповіщення можна надіслати команді розробників, а інші можна зробити доступними для спільноти. Якщо спільнота буде поінформована таким чином, то кращу безпеку можна досягти у спосіб, який узгоджуватиметься з децентралізованим етосом, а не буде віднесено до функції судового перегляду.

Давайте поглянемо назад на хак Ronin як приклад. Команді, яка стоїть за проектом, знадобилося цілих шість днів, щоб зрозуміти, що сталася атака, і це стало відомо лише тоді, коли користувач поскаржився, що не може зняти кошти. Якби моніторинг мережі був у режимі реального часу, відповідь могла б відбутися майже миттєво, коли відбулася перша велика підозріла транзакція. Натомість ніхто цього не помітив протягом майже тижня, що дало зловмиснику достатньо часу, щоб продовжувати переміщувати кошти та приховувати їх історію.

Здається досить очевидним, що оборотні токени не дуже допомогли б цій ситуації, але моніторинг міг би допомогти. На той час, коли це було помічено, багато вкрадених монет неодноразово переміщувалися через гаманці та біржі. Чи можна всі ці транзакції просто скасувати? Ускладнення, а також можливі нові ризики означають, що ця спроба просто не варта зусиль. Особливо якщо врахувати, що вже існують потужні механізми, які можуть запропонувати подібний рівень безпеки та підзвітності.

Замість того, щоб возитися з формулою, яка робить криптовалюту настільки потужною, було б набагато доцільніше запровадити комплексні та безперервні процеси безпеки в Web3, щоб децентралізовані активи залишалися незмінними, але не незахищеними.

Ця стаття призначена для загальної інформації та не призначена і не повинна розглядатися як юридична чи інвестиційна порада. Погляди, думки та погляди, висловлені тут, належать лише автору та не обов’язково відображають погляди та думки Cointelegraph.