💬 Разработчики могли бы предотвратить взлом криптовалюты в 2022 году, если бы приняли базовые меры безопасности

Разработчики могли бы предотвратить взлом криптовалюты в 2022 году, если бы приняли базовые меры безопасности

Пользователи, теряющие средства из-за злонамеренных действий, практически не встречаются в Ethereum. Фактически, именно поэтому исследователи недавно разработали предложение ввести тип токена, который является обратимым в случае взлома или других неприятных действий.

В частности, предлагается создать ERC-20R и ERC-721R, которые будут модифицированными версиями стандартов, регулирующих как обычные токены Ethereum, так и невзаимозаменяемые токены (NFT).

Предпосылка звучит так: этот новый стандарт позволит пользователям делать «запрос на замораживание» недавних транзакций, который заблокирует эти средства до тех пор, пока «децентрализованная судебная система» не определит действительность транзакции. Обеим сторонам будет разрешено представлять свои доказательства, а судьи будут выбираться случайным образом из децентрализованного пула, чтобы свести к минимуму сговор.

В конце процесса будет вынесен вердикт, и либо средства будут возвращены, либо они останутся на месте. Тогда это решение будет окончательным и не подлежит дальнейшему оспариванию. Это даст жертвам взломов и других злонамеренных действий возможность вернуть свои активы напрямую и по инициативе сообщества.

К сожалению, это может быть ненужным и в конечном итоге вредным предложением. Одним из краеугольных камней философии децентрализации является то, что транзакции идут только в одном направлении. Их нельзя отменить практически ни при каких обстоятельствах. Это новое изменение протокола подорвет эту фундаментальную заповедь и поможет исправить то, что не нарушено.

Итак, как это работает, когда злоумышленник крадет ERC-20R и обналичивает ETH через DEX в одной и той же транзакции? Или ERC-20R будет несовместим с текущей экосистемой DeFi? https://t.co/n5pN82ZBBe — Роман Семенов ️ (@semenov_roman_) 25 сентября 2022 г.

Существует также тот факт, что даже внедрение таких токенов было бы логистическим кошмаром. Если каждая отдельная платформа не перейдет на новый стандарт, тогда в системе будут огромные пробелы, а это означает, что воры смогут просто быстро обменять свои обратимые активы на необратимые и полностью избежать последствий. Это сделает весь объект совершенно бессмысленным, и, скорее всего, пользователи просто не будут с ним взаимодействовать.

Кроме того, сама идея судебного пересмотра подразумевает централизацию. Разве независимость от третьих лиц не является именно тем, для чего была создана криптовалюта? В существующем предложении неясно, как выбираются эти судьи, за исключением того, что оно будет «случайным». Без очень тщательно сбалансированной системы трудно сказать, что сговор или манипуляция невозможны.

Лучшее предложение

В конечном счете, идея обратимого криптоактива может быть благонамеренной, но в то же время совершенно ненужной. Предпосылка вводит много новых сложностей с точки зрения его фактической интеграции в существующие системы, и это даже при условии, что платформы захотят его использовать. Однако есть и другие способы обеспечения безопасности в децентрализованной экосистеме, которые не подрывают то, что изначально делает криптовалюту такой мощной.

Например, постоянный аудит всех кодов смарт-контрактов. Многие проблемы в децентрализованных финансах (DeFi) возникают из-за эксплойтов, присутствующих в базовых смарт-контрактах. Всеобъемлющие и независимые аудиты безопасности могут помочь выявить потенциальные проблемы до того, как эти протоколы будут выпущены. Кроме того, важно попытаться понять, как несколько контрактов будут взаимодействовать друг с другом, когда они будут запущены, поскольку некоторые проблемы возникают только тогда, когда они используются в реальных условиях.

Любой развернутый контракт будет иметь факторы риска, которые следует отслеживать и защищать от них. Однако у многих групп разработчиков нет надежного решения для мониторинга безопасности. Часто первым признаком того, что происходит что-то неладное, является диагностика по цепочке. Массовые или необычные транзакции и другие необычные шаблоны транзакций могут указывать на атаку, которая происходит в режиме реального времени. Способность замечать и понимать эти сигналы является ключом к тому, чтобы оставаться в курсе событий.

Конечно, также должна быть система для документирования и записи событий и передачи наиболее важной информации нужным организациям. Некоторые оповещения можно отправить команде разработчиков, а другие сделать доступными для сообщества. Если сообщество будет информировано таким образом, безопасность может быть обеспечена таким образом, который соответствует духу децентрализации, а не отводится функции судебного надзора.

В качестве примера вернемся к взлому Ronin. Команде, стоящей за проектом, потребовалось полных шесть дней, чтобы понять, что атака произошла, и они узнали об этом только тогда, когда пользователь пожаловался на то, что они не могут вывести средства. Если бы существовал мониторинг сети в режиме реального времени, ответ мог бы произойти почти мгновенно, когда произошла бы первая крупная подозрительная транзакция. Вместо этого никто ничего не заметил в течение почти недели, что дало злоумышленнику достаточно времени, чтобы продолжить перемещение средств и скрыть свою историю.

Кажется довольно очевидным, что обратимые токены не сильно помогли бы в этой ситуации, но мог бы помочь мониторинг. К тому времени, когда это было замечено, многие из украденных монет неоднократно переводились через кошельки и биржи. Можно ли просто отменить все эти транзакции? Введенные сложности, а также возможные новые риски означают, что эта попытка просто не стоит затраченных усилий. Особенно, если учесть, что уже существуют мощные механизмы, которые могут обеспечить аналогичный уровень безопасности и подотчетности.

Вместо того, чтобы возиться с формулой, которая делает криптографию такой мощной, было бы гораздо разумнее внедрить комплексные и непрерывные процессы безопасности в Web3, чтобы децентрализованные активы оставались неизменными, но не были незащищенными.

Эта статья предназначена для общего ознакомления и не предназначена и не должна восприниматься как юридическая или инвестиционная консультация. Взгляды, мысли и мнения, выраженные здесь, принадлежат только автору и не обязательно отражают или представляют взгляды и мнения Cointelegraph.