Brugere, der mister penge på grund af ondsindet aktivitet, er næppe ukendt på Ethereum. Faktisk er det selve grunden til, at forskere for nylig udviklede et forslag om at introducere en type token, der er reversibel i tilfælde af et hack eller anden ubehagelig adfærd.
Specifikt ville forslaget indebære oprettelsen af en ERC-20R og ERC-721R, som ville være modificerede versioner af standarderne, der styrer både almindelige Ethereum-tokens og nonfungible tokens (NFT'er).
Forudsætningen lyder sådan her: denne nye standard vil tillade brugere at lave en "fryseanmodning" på nylige transaktioner, der ville låse disse midler, indtil et "decentraliseret retssystem" bestemmer transaktionens gyldighed. Begge parter ville få lov til at fremlægge deres beviser, og dommerne ville blive valgt tilfældigt fra en decentraliseret pulje for at minimere hemmeligt samarbejde.
Ved afslutningen af processen ville der blive afsagt en dom, og enten ville midlerne blive returneret, eller de ville blive, hvor de er. Denne beslutning vil så være endelig og ikke genstand for yderligere stridigheder. Dette ville åbne en praktisk vej for ofre for hacks og anden ondsindet aktivitet til at få deres aktiver tilbage på en direkte og fællesskabsdrevet måde.
Desværre kan dette meget vel være et unødvendigt og i sidste ende skadeligt forslag. En af hjørnestenene i den decentraliserede filosofi er, at transaktioner kun går i én retning. De kan ikke fortrydes under stort set alle omstændigheder. Denne nye protokolændring ville underminere den grundlæggende forskrift og for at rette op på det, der ikke er brudt.
Så hvordan fungerer det, når en angriber stjæler ERC-20R og udbetaler til ETH via en DEX i den samme transaktion? Eller vil ERC-20R være inkompatibel med det nuværende DeFi-økosystem? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) September 25, 2022
Der er også det faktum, at selv implementering af sådanne tokens ville være et logistisk mareridt. Medmindre hver enkelt platform skiftede over til den nye standard, ville der være enorme huller i systemet, hvilket betyder, at tyvene ganske enkelt hurtigt kunne bytte deres reversible aktiver til ikke-reversible og undgå konsekvenserne helt. Dette ville gøre hele aktivet fuldstændig meningsløst, og mere end sandsynligt ville brugere simpelthen ikke engagere sig i det.
Desuden indebærer hele ideen om en domstolsprøvelse centralisering. Er uafhængighed fra en tredjepart ikke den præcise ting, kryptovaluta blev skabt til? Det eksisterende forslag er ikke klart om, hvordan disse dommere vælges, bortset fra at det vil være "tilfældigt". Uden at systemet er meget nøje afbalanceret, er det svært at sige, at samordning eller manipulation er umulig.
Et bedre forslag
I sidste ende kan ideen om et reversibelt kryptoaktiv være velment, men det er også helt unødvendigt. Forudsætningen introducerer mange nye kompleksiteter i forhold til dens faktiske integration i eksisterende systemer, og det er endda forudsat, at platforme ønsker at udnytte det. Der er dog andre måder at opnå sikkerhed i det decentraliserede økosystem på, som ikke underminerer det, der gør kryptovaluta så kraftfuld til at begynde med.
For det første revision af alle smarte kontraktkoder løbende. Mange problemer i decentral finansiering (DeFi) opstå fra udnyttelser i de underliggende smarte kontrakter. Omfattende og uafhængige sikkerhedsrevisioner kan hjælpe med at finde ud af, hvor der er potentielle problemer, før disse protokoller frigives. Desuden er det vigtigt at forsøge at forstå, hvordan flere kontrakter vil interagere sammen, når de går live, da nogle problemer kun opstår, når de bruges i naturen.
Enhver implementeret kontrakt vil have risikofaktorer, som bør overvåges og forsvares imod. Mange udviklingsteams har dog ikke en robust sikkerhedsovervågningsløsning på plads. Ofte kommer det første tegn på, at der sker noget problematisk, fra en on-chain diagnose. Massive eller usædvanlige transaktioner og andre usædvanlige transaktionsmønstre kan pege på et angreb, der sker i realtid. At kunne spotte og forstå disse signaler er nøglen til at holde sig på toppen af dem.
Relateret: Bidens anæmiske kryptoramme tilbød intet nyt
Selvfølgelig skal der også være et system til at dokumentere og registrere hændelser og formidle de vigtigste informationer til de korrekte enheder. Nogle advarsler kan sendes til udviklerteamet, og andre kan gøres tilgængelige for fællesskabet. Med et samfund informeret på denne måde, kan bedre sikkerhed komme på en måde, der stemmer overens med den decentraliserede etos i stedet for at blive henvist til en funktion af en domstolskontrol.
Lad os se tilbage på Ronin-hacket som et eksempel. Det tog hele seks dage for holdet bag projektet at indse, at et angreb havde fundet sted, og blev først opmærksomme, da en bruger klagede over, at de ikke var i stand til at hæve penge. Hvis realtidsovervågning af netværket havde været på plads, kunne et svar være sket næsten øjeblikkeligt, da den første store, mistænkelige transaktion fandt sted. I stedet bemærkede ingen i næsten en uge, hvilket gav angriberen god tid til at fortsætte med at flytte penge og sløre deres historie.
Det virker ret indlysende, at reversible tokens ikke ville have hjulpet denne situation meget, men overvågning kunne have gjort det. Da det blev bemærket, var mange af de stjålne mønter blevet overført gentagne gange på tværs af tegnebøger og børser. Kunne alle disse transaktioner bare tilbageføres? De indførte kompleksiteter, såvel som de mulige nye risici, der er skabt, betyder, at denne bestræbelse simpelthen ikke er besværet værd. Især når man tænker på, at der allerede eksisterer kraftfulde mekanismer, som kan tilbyde et tilsvarende niveau af sikkerhed og ansvarlighed.
I stedet for at rode med formlen, der gør krypto så kraftfuldt, ville det give meget mere mening at implementere omfattende og kontinuerlige sikkerhedsprocesser på tværs af Web3, så decentraliserede aktiver forbliver uforanderlige, men ikke ubeskyttede.
Stephen Lloyd Webber er softwareingeniør og forfatter med forskellig erfaring i at forenkle komplekse situationer. Han er fascineret af open source, decentralisering og alt på Ethereum blockchain. Stephen arbejder i øjeblikket med produktmarketing hos Open Zeppelin, en førende virksomhed inden for kryptocybersikkerhedsteknologi og -tjenester, og har en MFA i engelsk skrivning fra New Mexico State University.
Denne artikel er til generel informationsformål og er ikke beregnet til at være og bør ikke opfattes som juridisk rådgivning eller investeringsrådgivning. De synspunkter, tanker og meninger, der udtrykkes her, er forfatterens alene og afspejler eller repræsenterer ikke nødvendigvis Cointelegraphs synspunkter og meninger.
Kilde: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures