Карыстальнікі, якія губляюць сродкі з-за шкоднасных дзеянняў, наўрад ці з'яўляюцца невядомымі на Ethereum. Фактычна, менавіта па гэтай прычыне даследчыкі нядаўна распрацавалі прапанову аб увядзенні тыпу токена, зварачальнага ў выпадку ўзлому або іншых непрыемных паводзін.
У прыватнасці, прапанова прадугледжвае стварэнне ERC-20R і ERC-721R, якія будуць мадыфікаванымі версіямі стандартаў, якія рэгулююць як звычайныя токены Ethereum, так і несумяшчальныя токены (NFT).
Перадумова гучыць так: гэты новы стандарт дазволіць карыстальнікам рабіць «запыт на замарожванне» апошніх транзакцый, які будзе блакаваць гэтыя сродкі, пакуль «дэцэнтралізаваная судовая сістэма» не вызначыць сапраўднасць транзакцыі. Абодвум бакам будзе дазволена прадставіць свае доказы, а суддзі будуць выбірацца выпадковым чынам з дэцэнтралізаванага пула, каб звесці да мінімуму змову.
Напрыканцы працэсу вынеслі б прысуд і альбо вярнулі б сродкі, альбо яны заставаліся б на месцы. У такім выпадку гэта рашэнне будзе канчатковым і не падлягае далейшаму спрэчцы. Гэта адкрые практычную магчымасць ахвярам узломаў і іншых шкоднасных дзеянняў вярнуць свае актывы прамым і кіраваным супольнасцю спосабам.
На жаль, гэта цалкам можа быць непатрэбнай і ў канчатковым выніку шкоднай прапановай. Адзін з краевугольных камянёў дэцэнтралізаванай філасофіі заключаецца ў тым, што транзакцыі ідуць толькі ў адным кірунку. Іх нельга адмяніць практычна ні пры якіх абставінах. Гэта новае змяненне пратакола падарвала б гэта фундаментальнае правіла і выправіла тое, што не парушана.
Такім чынам, як гэта працуе, калі зламыснік выкрадае ERC-20R і выводзіць грошы на ETH праз DEX у той жа транзакцыі? Ці ERC-20R будзе несумяшчальны з бягучай экасістэмай DeFi? https://t.co/n5pN82ZBBe
— Раман Сямёнаў ️ (@semenov_roman_) Верасень 25, 2022
Ёсць таксама той факт, што нават укараненне такіх токенаў было б лагістычным кашмарам. Калі кожная асобная платформа не пяройдзе на новы стандарт, то ў сістэме будуць вялікія прабелы, а гэта значыць, што злодзеі змогуць проста хутка памяняць свае зварачальныя актывы на незваротныя і цалкам пазбегнуць наступстваў. Гэта зробіць увесь актыў цалкам бессэнсоўным, і больш чым верагодна, што карыстальнікі проста не будуць з ім займацца.
Акрамя таго, уся ідэя судовага перагляду мае на ўвазе цэнтралізацыю. Ці не незалежнасць ад трэцяга боку - тое, для чаго была створана криптовалюта? У існуючай прапанове незразумела, як выбіраюцца гэтыя суддзі, за выключэннем таго, што гэта будзе «выпадковым чынам». Калі сістэма не будзе вельмі старанна збалансавана, цяжка сказаць, што змова або маніпуляцыя немагчымыя.
Лепшая прапанова
У рэшце рэшт, паняцце зварачальнага крыпта-актыву можа быць з добрых намераў, але таксама зусім непатрэбным. Перадумова ўводзіць шмат новых складанасцей з пункту гледжання яго фактычнай інтэграцыі ў існуючыя сістэмы, і гэта нават пры ўмове, што платформы хочуць яго выкарыстоўваць. Тым не менш, ёсць іншыя спосабы дасягнуць бяспекі ў дэцэнтралізаванай экасістэме, якія не падрываюць тое, што робіць криптовалюту такой магутнай з самага пачатку.
З аднаго боку, аўдыт усіх кодаў смарт-кантрактаў на пастаяннай аснове. Шмат праблем у дэцэнтралізаваныя фінансы (DeFi) узнікаюць з-за эксплойтаў, якія прысутнічаюць у базавых смарт-кантрактах. Усебаковыя і незалежныя аўдыты бяспекі могуць дапамагчы выявіць магчымыя праблемы да таго, як гэтыя пратаколы будуць выпушчаны. Акрамя таго, важна паспрабаваць зразумець, як некалькі кантрактаў будуць узаемадзейнічаць разам, калі яны пачнуць дзейнічаць, бо некаторыя праблемы ўзнікаюць толькі тады, калі яны выкарыстоўваюцца ў дзікай прыродзе.
Любы разгорнуты кантракт будзе мець фактары рызыкі, якія трэба кантраляваць і абараняцца ад іх. Аднак многія каманды распрацоўшчыкаў не маюць надзейнага рашэння для маніторынгу бяспекі. Часта першая прыкмета таго, што адбываецца нешта праблема, зыходзіць ад ланцуговай дыягностыкі. Масавыя або незвычайныя транзакцыі і іншыя незвычайныя схемы транзакцый могуць паказваць на атаку, якая адбываецца ў рэжыме рэальнага часу. Магчымасць выяўляць і разумець гэтыя сігналы - гэта ключ да таго, каб заставацца ў курсе іх.
Па тэме: Анемічны крыпта-фреймворк Байдэна не прапанаваў нічога новага
Вядома, таксама павінна быць сістэма для дакументавання і запісу падзей і перадачы найбольш важнай інфармацыі правільным суб'ектам. Некаторыя абвесткі можна адпраўляць камандзе распрацоўшчыкаў, а іншыя можна рабіць даступнымі для супольнасці. Калі супольнасць будзе праінфармавана такім чынам, лепшая бяспека можа прыйсці ў адпаведнасці з дэцэнтралізаваным этасам, а не аднесена да функцыі судовага перагляду.
Давайце ў якасці прыкладу паглядзім на хак Ronin. Камандзе, якая стаіць за праектам, спатрэбілася цэлых шэсць дзён, каб зразумець, што адбылася атака, і стала вядома толькі тады, калі карыстальнік паскардзіўся, што не можа зняць сродкі. Калі б быў арганізаваны маніторынг сеткі ў рэжыме рэальнага часу, адказ мог бы адбыцца амаль імгненна, калі адбылася першая буйная падазроная транзакцыя. Замест гэтага ніхто не заўважыў амаль тыдзень, што дало зламысніку дастаткова часу, каб працягваць перамяшчаць сродкі і зацямняць іх гісторыю.
Здаецца цалкам відавочным, што зварачальныя токены не вельмі дапамаглі б гэтай сітуацыі, але маніторынг мог бы дапамагчы. Да таго часу, калі гэта было заўважана, многія са скрадзеных манет былі неаднаразова пераведзены праз кашалькі і біржы. Ці можна проста адмяніць усе гэтыя транзакцыі? Уведзеныя складанасці, а таксама магчымыя новыя рызыкі азначаюць, што гэтая спроба проста не вартая намаганняў. Асабліва калі ўлічыць, што ўжо існуюць магутныя механізмы, якія могуць прапанаваць аналагічны ўзровень бяспекі і падсправаздачнасці.
Замест таго, каб важдацца з формулай, якая робіць крыпту такой магутнай, было б значна больш разумна рэалізаваць комплексныя і бесперапынныя працэсы бяспекі ў Web3, каб дэцэнтралізаваныя актывы заставаліся нязменнымі, але не неабароненымі.
Стывен Лойд Уэбер з'яўляецца інжынерам-праграмістам і аўтарам з розным вопытам спрашчэння складаных сітуацый. Ён захапляецца адкрытым зыходным кодам, дэцэнтралізацыяй і ўсім, што звязана з блокчейном Ethereum. У цяперашні час Стывен працуе ў галіне маркетынгу прадуктаў у Open Zeppelin, вядучай кампаніі па тэхналогіях і паслугах крыпта-кібербяспекі, і мае ступень магістра замежных спраў англійскай мовы ў Універсітэце штата Нью-Мексіка.
Гэты артыкул прызначаны для агульных інфармацыйных мэт і не прызначаны і не павінен разглядацца ў якасці юрыдычнай або інвестыцыйнай парады. Погляды, думкі і меркаванні, выказаныя тут, належаць толькі аўтару і не абавязкова адлюстроўваюць погляды і меркаванні Cointelegraph.
Крыніца: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures