Käyttäjiä, jotka menettävät varoja haitallisen toiminnan takia, tuskin tunnetaan Ethereumissa. Itse asiassa se on juuri se syy, miksi tutkijat kehittivät äskettäin ehdotuksen sellaisen tunnuksen käyttöönottamiseksi, joka voidaan peruuttaa hakkeroinnin tai muun epämiellyttävän käytöksen sattuessa.
Erityisesti ehdotuksessa luotaisiin ERC-20R ja ERC-721R, jotka olisivat muunneltuja versioita standardeista, jotka hallitsevat sekä tavallisia Ethereum-tokeneita että ei-palavat merkit (NFT).
Lähtökohta on seuraava: tämä uusi standardi antaisi käyttäjille mahdollisuuden tehdä "jäädytyspyyntö" viimeaikaisista tapahtumista, mikä lukitsisi kyseiset varat, kunnes "hajautettu oikeusjärjestelmä" määrittää tapahtuman pätevyyden. Molemmat osapuolet saisivat esittää todisteensa, ja tuomarit valittaisiin satunnaisesti hajautetusta joukosta salaisen yhteistyön minimoimiseksi.
Prosessin päätteeksi syntyisi tuomio ja varat joko palautettaisiin tai ne jäävät ennalleen. Tämä päätös olisi silloin lopullinen, eikä siitä enää kiistettäisi. Tämä avaisi hakkeroinnin ja muun haitallisen toiminnan uhreille käytännön mahdollisuuden saada omaisuutensa takaisin suoraan ja yhteisölähtöisesti.
Valitettavasti tämä voi hyvinkin olla tarpeeton ja lopulta haitallinen ehdotus. Yksi hajautetun filosofian kulmakivistä on, että liiketoimet menevät vain yhteen suuntaan. Niitä ei voi kumota käytännössä missään olosuhteissa. Tämä uusi protokollamuutos heikentäisi tätä perussääntöä ja korjaaisi sen, mikä ei ole rikki.
Joten miten tämä toimii, kun hyökkääjä varastaa ERC-20R:n ja lunastaa ETH:lle DEX:n kautta samassa tapahtumassa? Vai onko ERC-20R yhteensopimaton nykyisen DeFi-ekosysteemin kanssa? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) Syyskuu 25, 2022
On myös se tosiasia, että jopa tällaisten rahakkeiden käyttöönotto olisi logistinen painajainen. Ellei jokainen alusta siirtyisi uuteen standardiin, järjestelmässä olisi valtavia aukkoja, mikä tarkoittaa, että varkaat voisivat yksinkertaisesti vaihtaa nopeasti palautuvat omaisuutensa ei-palautettaviin ja välttää vaikutukset kokonaan. Tämä tekisi koko omaisuudesta täysin hyödyttömän, eivätkä käyttäjät todennäköisesti yksinkertaisesti käyttäisi sitä.
Lisäksi koko ajatus oikeudellisesta tarkastelusta edellyttää keskittämistä. Eikö kryptovaluutta luotiin juuri riippumattomuus kolmannesta osapuolesta? Nykyinen ehdotus ei ole selvä siitä, kuinka nämä tuomarit valitaan, paitsi että se on "satunnainen". Ilman järjestelmää erittäin huolellisesti tasapainotettua on vaikea sanoa, että salainen yhteistyö tai manipulointi on mahdotonta.
Parempi ehdotus
Lopulta ajatus palautuvasta kryptoomaisuudesta voi olla hyvää tarkoittava, mutta myös täysin tarpeeton. Lähtökohta tuo monia uusia monimutkaisia tekijöitä sen varsinaisessa integroinnissa olemassa oleviin järjestelmiin, ja tämä on jopa olettaen, että alustat haluavat hyödyntää sitä. Hajautetun ekosysteemin turvallisuuden saavuttamiseksi on kuitenkin muita tapoja, jotka eivät heikennä sitä, mikä tekee kryptovaluutasta niin voimakkaan alunperinkin.
Ensinnäkin kaikkien älykkäiden sopimuskoodien tarkastaminen jatkuvasti. Paljon ongelmia mukana hajautettu rahoitus (DeFi) syntyvät taustalla olevissa älykkäissä sopimuksissa esiintyvistä hyödyistä. Kattavat ja riippumattomat tietoturvatarkastukset voivat auttaa löytämään mahdolliset ongelmat ennen kuin nämä protokollat julkaistaan. Lisäksi on tärkeää yrittää ymmärtää, kuinka useat sopimukset toimivat yhdessä, kun ne julkaistaan, koska jotkut ongelmat ilmenevät vain, kun niitä käytetään luonnossa.
Kaikissa käytössä olevissa sopimuksissa on riskitekijöitä, joita tulee valvoa ja joita vastaan tulee puolustautua. Monilla kehitystiimeillä ei kuitenkaan ole käytössä vankkaa tietoturvan valvontaratkaisua. Usein ensimmäinen merkki siitä, että jotain ongelmallista on tapahtumassa, tulee ketjudiagnoosista. Massiiviset tai epätavalliset tapahtumat ja muut epätavalliset tapahtumamallit voivat viitata hyökkäykseen, joka tapahtuu reaaliajassa. Näiden signaalien havaitseminen ja ymmärtäminen on avainasemassa pysyäksesi niiden päällä.
Related: Bidenin aneeminen kryptokehys ei tarjonnut mitään uutta
Tietysti tarvitaan myös järjestelmä tapahtumien dokumentoimiseksi ja tallentamiseksi sekä tärkeimpien tietojen välittämiseksi oikeille kokonaisuuksille. Jotkut hälytykset voidaan lähettää kehittäjätiimille ja toiset voidaan asettaa yhteisön saataville. Kun yhteisö on näin tietoinen, parempi turvallisuus voi tapahtua tavalla, joka vastaa hajautettua eetosta sen sijaan, että se jätettäisiin oikeudellisen valvonnan tehtäväksi.
Katsotaanpa esimerkkinä Ronin-hakkerointia. Kesti kuusi päivää, ennen kuin projektin takana oleva tiimi huomasi hyökkäyksen tapahtuneen, ja hän huomasi vasta, kun käyttäjä valitti, ettei hän pystynyt nostamaan varoja. Jos verkon reaaliaikainen valvonta olisi ollut paikallaan, vastaus olisi voinut tapahtua lähes välittömästi ensimmäisen suuren, epäilyttävän tapahtuman tapahtuessa. Sen sijaan kukaan ei huomannut lähes viikkoon, mikä antoi hyökkääjälle runsaasti aikaa jatkaa varojen siirtämistä ja hämärtää historiaansa.
Vaikuttaa melko ilmeiseltä, että palautuvat tokenit eivät olisi auttaneet tätä tilannetta paljon, mutta valvonta olisi voinut. Siihen mennessä, kun se huomattiin, monet varastetuista kolikoista oli siirretty toistuvasti lompakoiden ja vaihtopisteiden välillä. Voisiko kaikki nämä liiketoimet vain peruuttaa? Esiin tulleet monimutkaisuudet sekä mahdolliset uudet riskit tarkoittavat, että tämä yritys ei yksinkertaisesti ole vaivan arvoista. Varsinkin kun ottaa huomioon, että olemassa on jo tehokkaita mekanismeja, jotka voivat tarjota samanlaisen turvallisuuden ja vastuullisuuden.
Sen sijaan, että sotkeutuisi salauksesta niin tehokkaaksi tekevän kaavan kanssa, olisi paljon järkevämpää toteuttaa kattavia ja jatkuvia tietoturvaprosesseja Web3:ssa, jotta hajautetut resurssit pysyvät muuttumattomina, mutta eivät suojaamattomina.
Stephen Lloyd Webber on ohjelmistosuunnittelija ja kirjailija, jolla on monipuolinen kokemus monimutkaisten tilanteiden yksinkertaistamisesta. Häntä kiehtoo avoin lähdekoodi, hajauttaminen ja kaikki Ethereumin lohkoketjussa. Stephen työskentelee tällä hetkellä tuotemarkkinoinnin parissa Open Zeppelinissä, johtavassa krypto-kyberturvallisuusteknologia- ja -palveluyrityksessä, ja hänellä on englanninkielinen MFA New Mexico State Universitystä.
Tämä artikkeli on tarkoitettu yleisiin tiedotustarkoituksiin, eikä sitä ole tarkoitettu eikä sitä pidä pitää oikeudellisena tai sijoitusneuvona. Tässä esitetyt näkemykset, ajatukset ja mielipiteet ovat vain kirjoittajan omia eivätkä välttämättä heijasta tai edusta Cointelegraphin näkemyksiä ja mielipiteitä.
Lähde: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures