Uživatelé ztrácející finanční prostředky kvůli škodlivé činnosti nejsou na Ethereu téměř neznámí. Ve skutečnosti je to právě důvod, proč výzkumníci nedávno vyvinuli návrh na zavedení typu tokenu, který je vratný v případě hacku nebo jiného nepříjemného chování.
Konkrétně by návrh viděl vytvoření ERC-20R a ERC-721R, což by byly upravené verze standardů, kterými se řídí jak běžné tokeny Ethereum, tak nefunkční tokeny (NFT).
Premisa zní takto: tento nový standard by uživatelům umožnil provést „požadavek na zmrazení“ nedávných transakcí, který by tyto prostředky uzamkl, dokud „decentralizovaný soudní systém“ nestanoví platnost transakce. Obě strany by mohly předložit své důkazy a soudci by byli vybráni náhodně z decentralizované skupiny, aby se minimalizovaly tajné dohody.
Na konci procesu by padl verdikt a buď by se finanční prostředky vrátily, nebo by zůstali tam, kde jsou. Toto rozhodnutí by pak bylo konečné a nepodléhalo by žádným dalším sporům. To by otevřelo praktickou cestu pro oběti hacků a jiné škodlivé činnosti, jak získat zpět svá aktiva přímým a komunitním způsobem.
Bohužel to může být zbytečný a nakonec škodlivý návrh. Jedním ze základních kamenů decentralizované filozofie je, že transakce jdou pouze jedním směrem. Nelze je vrátit prakticky za žádných okolností. Tato nová změna protokolu by podkopala toto základní pravidlo a opravila to, co není porušeno.
Jak to tedy funguje, když útočník ukradne ERC-20R a vyplácí peníze do ETH prostřednictvím DEX ve stejné transakci? Nebo bude ERC-20R nekompatibilní se současným ekosystémem DeFi? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) Září 25, 2022
Je tu také skutečnost, že i implementace takových tokenů by byla logistickou noční můrou. Pokud by každá jednotlivá platforma nepřešla na nový standard, pak by v systému byly obrovské mezery, což znamená, že zloději by mohli jednoduše rychle vyměnit svá vratná aktiva za nevratná a zcela se vyhnout následkům. Tím by se celé aktivum stalo zcela bezpředmětným a uživatelé by se s ním s největší pravděpodobností jednoduše nezapojili.
Navíc celá myšlenka soudního přezkumu zahrnuje centralizaci. Není nezávislost na třetí straně přesně to, kvůli čemu byla kryptoměna vytvořena? Stávající návrh není jasný, jak jsou tito soudci vybíráni, kromě toho, že to bude „náhodné“. Bez velmi pečlivě vyváženého systému je těžké říci, že tajná dohoda nebo manipulace jsou nemožné.
Lepší návrh
Koneckonců, pojem vratného kryptoaktiva může být dobře míněný, ale je také zcela zbytečný. Premisa přináší mnoho nových složitostí, pokud jde o její skutečnou integraci do stávajících systémů, a to i za předpokladu, že jej platformy chtějí využívat. Existují však i jiné způsoby, jak dosáhnout bezpečnosti v decentralizovaném ekosystému, které nepodkopávají to, co dělá kryptoměny tak mocné.
Za prvé, průběžný audit všech kódů inteligentních smluv. Mnoho problémů v decentralizované financování (DeFi) vycházejí z exploitů přítomných v podkladových smart kontraktech. Komplexní a nezávislé bezpečnostní audity mohou pomoci zjistit, kde existují potenciální problémy ještě před vydáním těchto protokolů. Kromě toho je důležité pokusit se porozumět tomu, jak spolu bude více smluv interagovat, když budou spuštěny, protože některé problémy nastávají pouze při použití ve volné přírodě.
Každá nasazená smlouva bude mít rizikové faktory, které je třeba monitorovat a bránit se proti nim. Mnoho vývojových týmů však nemá zavedeno robustní řešení monitorování bezpečnosti. Často první známka toho, že se děje něco problematického, pochází z diagnostiky v řetězci. Masivní nebo neobvyklé transakce a další neobvyklé vzorce transakcí mohou poukazovat na útok, který probíhá v reálném čase. Být schopen rozpoznat a porozumět těmto signálům je klíčem k tomu, abyste nad nimi zůstali.
Související: Bidenův anemický kryptografický rámec nenabízel nic nového
Samozřejmě je také potřeba zavést systém pro dokumentaci a evidenci událostí a sdělování nejdůležitějších informací správným subjektům. Některá upozornění mohou být zaslána vývojářskému týmu a jiná mohou být zpřístupněna komunitě. S takto informovanou komunitou může přijít lepší bezpečnost způsobem, který je v souladu s decentralizovaným étosem, spíše než aby byla odkázána na funkci soudního přezkumu.
Podívejme se zpět na Ronin hack jako příklad. Tým, který stál za projektem, trvalo celých šest dní, než si uvědomil, že k útoku došlo, a uvědomil si to, až když si uživatel stěžoval, že nemůže vybrat peníze. Pokud by bylo zavedeno monitorování sítě v reálném čase, odpověď by mohla nastat téměř okamžitě, když došlo k první velké, podezřelé transakci. Místo toho si toho téměř týden nikdo nevšiml, což útočníkovi poskytlo dostatek času, aby pokračoval v přesouvání finančních prostředků a zakrývání své historie.
Zdá se docela zřejmé, že reverzibilní tokeny by této situaci příliš nepomohly, ale monitorování by ano. V době, kdy si toho všimli, bylo mnoho ukradených mincí opakovaně převedeno přes peněženky a směnárny. Mohly by být všechny tyto transakce prostě stornovány? Zavedené složitosti, stejně jako možná nově vzniklá rizika, znamenají, že toto úsilí prostě nestojí za námahu. Zvláště když si uvědomíte, že již existují výkonné mechanismy, které mohou nabídnout podobnou úroveň zabezpečení a odpovědnosti.
Místo toho, abychom se zabývali vzorcem, díky kterému jsou kryptoměny tak mocné, dávalo by mnohem větší smysl implementovat komplexní a nepřetržité bezpečnostní procesy napříč Web3, aby decentralizovaná aktiva zůstala neměnná, ale ne nechráněná.
Stephen Lloyd Webber je softwarový inženýr a autor s různorodými zkušenostmi se zjednodušováním složitých situací. Fascinuje ho open source, decentralizace a cokoli na blockchainu Ethereum. Stephen v současné době pracuje v produktovém marketingu ve společnosti Open Zeppelin, přední společnosti v oblasti krypto kybernetické bezpečnosti a služeb, a má magisterské studium v angličtině na New Mexico State University.
Tento článek je určen pro obecné informační účely a není zamýšlen a neměl by být považován za právní nebo investiční poradenství. Názory, myšlenky a názory vyjádřené zde patří pouze autorovi a nemusí nutně odrážet nebo reprezentovat názory a názory Cointelegraphu.
Zdroj: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures