Ang mga gumagamit na nawawalan ng pondo dahil sa malisyosong aktibidad ay halos hindi kilala sa Ethereum. Sa katunayan, ito ang mismong dahilan kung bakit nakabuo kamakailan ang mga mananaliksik ng isang panukala upang ipakilala ang isang uri ng token na mababaligtad sa kaganapan ng isang hack o iba pang hindi magandang pag-uugali.
Sa partikular, makikita sa mungkahi ang paglikha ng isang ERC-20R at ERC-721R, na babaguhin ang mga bersyon ng mga pamantayan na namamahala sa parehong mga regular na Ethereum token at nonfungible token (NFTs).
Ang saligan ay ganito: ang bagong pamantayang ito ay magbibigay-daan sa mga user na gumawa ng "paghiling ng pag-freeze" sa mga kamakailang transaksyon na magla-lock sa mga pondong iyon hanggang sa matukoy ng isang "desentralisadong sistema ng hudikatura" ang bisa ng transaksyon. Ang parehong partido ay papayagang magpakita ng kanilang ebidensya, at ang mga hukom ay pipiliin nang random mula sa isang desentralisadong pool upang mabawasan ang sabwatan.
Sa pagtatapos ng proseso, makakamit ang isang hatol at maaaring ibalik ang mga pondo o mananatili sila kung nasaan sila. Ang desisyong ito ay magiging pinal at hindi na sasailalim sa anumang pagtatalo. Ito ay magbubukas ng isang praktikal na paraan para sa mga biktima ng mga hack at iba pang malisyosong aktibidad upang maibalik ang kanilang mga ari-arian sa isang direktang paraan at hinihimok ng komunidad.
Sa kasamaang palad, ito ay maaaring isang hindi kailangan at sa huli ay nakakapinsalang panukala. Isa sa mga pundasyon ng desentralisadong pilosopiya ay ang mga transaksyon ay napupunta lamang sa isang direksyon. Ang mga ito ay hindi maaaring bawiin sa ilalim ng halos anumang pagkakataon. Ang bagong pagbabago sa protocol ay magpapabagabag sa pangunahing utos na iyon at upang ayusin ang hindi nasira.
Kaya paano ito gagana kapag ang isang attacker ay nagnakaw ng ERC-20R at nag-cash out sa ETH sa pamamagitan ng isang DEX sa parehong transaksyon? O magiging hindi tugma ang ERC-20R sa kasalukuyang DeFi ecosystem? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) Septiyembre 25, 2022
Mayroon ding katotohanan na kahit ang pagpapatupad ng mga naturang token ay magiging isang logistical bangungot. Maliban kung ang bawat solong platform ay lumipat sa bagong pamantayan, magkakaroon ng malaking gaps sa system, ibig sabihin ay mabilis na mapapalitan ng mga magnanakaw ang kanilang nababaligtad na mga asset para sa mga hindi mababawi at ganap na maiwasan ang mga epekto. Ito ay magiging ganap na walang kabuluhan ang buong asset, at mas malamang na ang mga user ay hindi makikipag-ugnayan dito.
Higit pa rito, ang buong ideya ng isang judicial review ay nagpapahiwatig ng sentralisasyon. Hindi ba ang kalayaan mula sa isang third party ang eksaktong bagay na nilikha ng cryptocurrency? Ang kasalukuyang panukala ay hindi malinaw kung paano pinipili ang mga hukom na ito, maliban sa ito ay magiging "random." Kung walang napakaingat na balanseng sistema, mahirap sabihin na imposible ang pagsasabwatan o pagmamanipula.
Isang mas magandang panukala
Sa huli, ang paniwala ng isang nababaligtad na asset ng crypto ay maaaring may mabuting intensyon ngunit ganap din na hindi kailangan. Ang premise ay nagpapakilala ng maraming bagong kumplikado sa mga tuntunin ng aktwal na pagsasama nito sa mga umiiral na system, at iyon ay kahit na sa pag-aakalang nais ng mga platform na gamitin ito. Gayunpaman, may iba pang mga paraan upang makamit ang seguridad sa desentralisadong ecosystem na hindi nakakasira kung bakit napakalakas ng cryptocurrency sa simula.
Para sa isa, patuloy na pag-audit ng lahat ng smart contract code. Maraming problema sa desentralisadong pananalapi (DeFi) lumabas mula sa mga pagsasamantalang naroroon sa pinagbabatayan ng mga smart contract. Ang mga komprehensibo at independiyenteng pag-audit sa seguridad ay makakatulong upang mahanap kung saan umiiral ang mga potensyal na problema bago ilabas ang mga protocol na ito. Higit pa rito, mahalagang subukang maunawaan kung paano magkakaugnay ang maraming kontrata kapag naging live ang mga ito, dahil lumalabas lang ang ilang isyu kapag ginamit ang mga ito sa wild.
Ang anumang naka-deploy na kontrata ay magkakaroon ng mga kadahilanan ng panganib na dapat subaybayan at ipagtanggol laban. Gayunpaman, maraming mga development team ang walang matatag na solusyon sa pagsubaybay sa seguridad. Kadalasan, ang unang senyales na may problemang nangyayari ay nagmumula sa on-chain diagnosis. Ang napakalaking o hindi pangkaraniwang mga transaksyon at iba pang hindi karaniwang mga pattern ng transaksyon ay maaaring tumuro sa isang pag-atake na nangyayari sa real-time. Ang kakayahang makita at maunawaan ang mga signal na ito ay susi sa pananatili sa tuktok ng mga ito.
Nauugnay: Walang bago ang anemic na crypto framework ni Biden
Siyempre, kailangan ding magkaroon ng isang sistema para sa pagdodokumento at pagtatala ng mga kaganapan at pagpapadala ng pinakamahalagang impormasyon sa mga tamang entity. Maaaring ipadala ang ilang alerto sa developer team at ang iba ay maaaring gawing available sa komunidad. Sa pagkakaroon ng kaalaman sa isang komunidad, maaaring dumating ang mas mahusay na seguridad sa paraang naaayon sa desentralisadong etos sa halip na i-relegate ito sa isang function ng isang judicial review.
Balikan natin ang Ronin hack bilang isang halimbawa. Kinailangan ng buong anim na araw para sa koponan sa likod ng proyekto upang mapagtanto ang isang pag-atake na nangyari, nalaman lamang kapag ang isang gumagamit ay nagreklamo na hindi nila nagawang mag-withdraw ng mga pondo. Kung ang real-time na pagsubaybay sa network ay nakalagay, ang isang tugon ay maaaring mangyari halos kaagad kapag naganap ang unang malaki, kahina-hinalang transaksyon. Sa halip, walang nakapansin sa loob ng halos isang linggo, na nagbibigay ng sapat na oras sa umaatake upang patuloy na ilipat ang mga pondo at itago ang kanilang kasaysayan.
Mukhang medyo halata na ang mga nababaligtad na token ay hindi makakatulong sa sitwasyong ito, ngunit maaaring makatulong ang pagsubaybay. Sa oras na ito ay napansin, marami sa mga ninakaw na barya ay paulit-ulit na inilipat sa mga wallet at palitan. Maaari bang baligtarin ang lahat ng mga transaksyong ito? Ang mga kumplikadong ipinakilala, pati na rin ang mga posibleng bagong panganib na nalikha, ay nangangahulugan na ang pagsisikap na ito ay hindi katumbas ng pagsisikap. Lalo na kung isasaalang-alang mo na mayroon nang mga makapangyarihang mekanismo na maaaring mag-alok ng katulad na antas ng seguridad at pananagutan.
Sa halip na pakialaman ang formula na nagpapalakas ng crypto, mas magiging makabuluhan kung ipatupad ang komprehensibo at tuluy-tuloy na mga proseso ng seguridad sa Web3 upang ang mga desentralisadong asset ay manatiling hindi nababago ngunit hindi protektado.
Stephen Lloyd Webber ay isang software engineer at may-akda na may magkakaibang karanasan sa pagpapasimple ng mga kumplikadong sitwasyon. Siya ay nabighani sa open source, desentralisasyon at anumang bagay sa Ethereum blockchain. Kasalukuyang nagtatrabaho si Stephen sa marketing ng produkto sa Open Zeppelin, isang nangungunang kumpanya ng teknolohiya at serbisyo ng crypto cybersecurity, at mayroong MFA sa Ingles na pagsulat mula sa New Mexico State University.
Ang artikulong ito ay para sa pangkalahatang layunin ng impormasyon at hindi nilayon at hindi dapat ituring bilang legal o payo sa pamumuhunan. Ang mga pananaw, kaisipan, at opinyon na ipinahayag dito ay ang may-akda lamang at hindi kinakailangang sumasalamin o kumakatawan sa mga pananaw at opinyon ng Cointelegraph.
Pinagmulan: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures