Pahatahtliku tegevuse tõttu raha kaotanud kasutajad pole Ethereumis peaaegu tundmatud. Tegelikult on just see põhjus, miks teadlased töötasid hiljuti välja ettepaneku võtta kasutusele selline märgitüüp, mis on häkkimise või muu ebameeldiva käitumise korral pöörduv.
Täpsemalt hõlmaks soovitus ERC-20R ja ERC-721R loomist, mis oleksid muudetud versioonid standarditest, mis reguleerivad nii tavalisi Ethereumi märke kui ka mitteliikuvad märgid (NFT).
Eeldus on järgmine: see uus standard võimaldaks kasutajatel esitada hiljutiste tehingute kohta külmutamistaotluse, mis lukustaks need raha seni, kuni "detsentraliseeritud kohtusüsteem" teeb tehingu kehtivuse kindlaks. Mõlemal osapoolel lubataks oma tõendeid esitada ja kohtunikud valitakse juhuslikult detsentraliseeritud rühmast, et minimeerida kokkumängu.
Protsessi lõpus langetaks kohtuotsus ja raha tagastatakse või jäädakse sinna, kus nad on. See otsus oleks siis lõplik ja selle peale ei saaks edasi vaielda. See avaks häkkimise ja muu pahatahtliku tegevuse ohvritele praktilise võimaluse oma vara otse ja kogukonna juhitud viisil tagasi saada.
Kahjuks võib see olla tarbetu ja lõpuks kahjulik ettepanek. Detsentraliseeritud filosoofia üks nurgakive on see, et tehingud käivad ainult ühes suunas. Neid ei saa peaaegu mitte mingil juhul tagasi võtta. See uus protokolli muudatus kahjustaks seda põhireeglit ja parandaks seda, mis pole rikutud.
Kuidas see siis toimib, kui ründaja varastab ERC-20R ja teeb sama tehinguga DEX-i kaudu ETH-le raha? Või ei ühildu ERC-20R praeguse DeFi ökosüsteemiga? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) September 25, 2022
Samuti on tõsiasi, et isegi selliste märkide rakendamine oleks logistiline õudusunenägu. Kui kõik platvormid ei lähe üle uuele standardile, tekivad süsteemis suured lüngad, mis tähendab, et vargad saaksid lihtsalt kiiresti vahetada oma pöörduvad varad mittepööratavate vastu ja vältida tagajärgi täielikult. See muudaks kogu vara täiesti mõttetuks ja enam kui tõenäoline, et kasutajad lihtsalt ei suhtleks sellega.
Lisaks hõlmab kogu kohtuliku läbivaatamise idee tsentraliseerimist. Kas mitte sõltumatus kolmandast osapoolest pole just see, milleks krüptoraha loodi? Olemasolev ettepanek ei ole selge, kuidas need kohtunikud valitakse, välja arvatud see, et see on "juhuslik". Ilma et süsteem oleks väga hoolikalt tasakaalustatud, on raske öelda, et kokkumäng või manipuleerimine on võimatu.
Parem ettepanek
Lõppkokkuvõttes võib ümberpööratava krüptovara mõiste olla heade kavatsustega, kuid ka täiesti ebavajalik. Eeldus toob kaasa palju uusi keerukust seoses selle tegeliku integreerimisega olemasolevatesse süsteemidesse ja isegi eeldades, et platvormid soovivad seda kasutada. Siiski on detsentraliseeritud ökosüsteemis turvalisuse saavutamiseks ka teisi viise, mis ei kahjusta seda, mis teeb krüptoraha nii võimsaks.
Esiteks kõigi nutikate lepingukoodide pidev auditeerimine. Palju probleeme sisse detsentraliseeritud rahandus (DeFi) tulenevad aluseks olevates nutikates lepingutes esinevatest ärakasutamistest. Põhjalikud ja sõltumatud turbeauditid võivad aidata enne nende protokollide avaldamist leida võimalikud probleemid. Lisaks on oluline püüda mõista, kuidas mitu lepingut koos avaldatakse, kuna mõned probleemid tekivad ainult siis, kui neid kasutatakse looduses.
Igal kasutuselevõetud lepingul on riskifaktorid, mida tuleks jälgida ja mille eest kaitsta. Paljudel arendusmeeskondadel pole aga tugevat turvaseire lahendust. Sageli on esimene märk sellest, et midagi probleemset on toimumas, ahelasisesest diagnoosist. Massilised või ebatavalised tehingud ja muud ebatavalised tehingumustrid võivad viidata rünnakule, mis toimub reaalajas. Nende signaalide märkamine ja mõistmine on nende peal püsimise võti.
Seotud: Bideni aneemiline krüptoraamistik ei pakkunud midagi uut
Loomulikult peab olema ka süsteem sündmuste dokumenteerimiseks ja salvestamiseks ning kõige olulisema teabe edastamiseks õigetele üksustele. Mõned märguanded saab saata arendajameeskonnale ja teised teha kogukonnale kättesaadavaks. Kui kogukond on niimoodi informeeritud, võib parem turvalisus tekkida viisil, mis on kooskõlas detsentraliseeritud eetosega, selle asemel, et see jäetakse kohtuliku kontrolli funktsiooni alla.
Vaatame näitena tagasi Ronini häkkimisele. Projekti taganud meeskonnal kulus tervelt kuus päeva, enne kui rünnak mõistis, sai teada alles siis, kui kasutaja kaebas, et ei saa raha välja võtta. Kui võrgu reaalajas jälgimine oleks olnud paigas, oleks võinud reageerida peaaegu kohe, kui toimus esimene suur kahtlane tehing. Selle asemel ei märganud keegi seda peaaegu nädala jooksul, andes ründajale piisavalt aega rahaliste vahendite liigutamiseks ja oma ajaloo varjamiseks.
Tundub üsna ilmne, et pööratavad märgid poleks seda olukorda palju aidanud, kuid jälgimine oleks võinud. Ajaks, mil seda märgati, olid paljud varastatud mündid korduvalt rahakottidesse ja rahakottidesse kantud. Kas kõiki neid tehinguid saab lihtsalt tagasi pöörata? Kasutusele võetud keerukus ja võimalikud uued riskid tähendavad, et see ettevõtmine ei ole lihtsalt pingutust väärt. Eriti kui arvestada, et juba on olemas võimsad mehhanismid, mis võivad pakkuda sarnast turvalisuse ja vastutuse taset.
Selle asemel, et jamada valemiga, mis muudab krüpto nii võimsaks, oleks palju mõttekam rakendada terviklikke ja pidevaid turbeprotsesse kogu Web3s, et detsentraliseeritud varad jääksid muutumatuks, kuid mitte kaitsmata.
Stephen Lloyd Webber on tarkvarainsener ja autor, kellel on mitmekülgsed kogemused keeruliste olukordade lihtsustamisel. Teda köidavad avatud lähtekoodiga, detsentraliseerimine ja kõik Ethereumi plokiahelas leiduv. Stephen töötab praegu tooteturunduse alal Open Zeppelinis, mis on peamine krüptoküberturvatehnoloogia ja -teenuste ettevõte, ning tal on New Mexico State University ingliskeelne MFA.
See artikkel on mõeldud üldiseks teavitamiseks ning seda ei saa pidada juriidiliseks või investeerimisnõustamiseks ega tohiks seda võtta. Siin avaldatud seisukohad, mõtted ja arvamused on ainult autori omad ning ei pruugi kajastada ega esindada Cointelegraphi seisukohti ja arvamusi.
Allikas: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures