משתמשים המפסידים כספים עקב פעילות זדונית כמעט ולא ידוע ב-Ethereum. למעשה, זו הסיבה שחוקרים לאחרונה פיתחו הצעה להציג סוג של אסימון שניתן להפיך במקרה של פריצה או התנהגויות לא נעימות אחרות.
באופן ספציפי, ההצעה תגרום ליצירת ERC-20R ו-ERC-721R, שיהיו גרסאות מתוקנות של הסטנדרטים השולטים גם באסימוני Ethereum רגילים וגם אסימונים שאינם ניתנים לפגיעה (NFT).
הנחת היסוד היא כזו: תקן חדש זה יאפשר למשתמשים להגיש "בקשת הקפאה" על עסקאות אחרונות שתנעל את הכספים הללו עד ש"מערכת משפט מבוזרת" תקבע את תוקף העסקה. שני הצדדים יורשו להציג את ראיותיהם, והשופטים ייבחרו באקראי מתוך מאגר מבוזר כדי למזער את הקנוניה.
בסופו של התהליך יתקבל פסק דין או שהכספים יוחזרו או שהם יישארו במקומם. החלטה זו תהיה אז סופית ולא נתונה לוויכוח נוסף. זה יפתח דרך מעשית לקורבנות של פריצות ופעילויות זדוניות אחרות כדי להחזיר את הנכסים שלהם בצורה ישירה ומונעת קהילה.
למרבה הצער, זו בהחלט עשויה להיות הצעה מיותרת ובסופו של דבר מזיקה. אחת מאבני היסוד של הפילוסופיה המבוזרת היא שעסקאות הולכות רק בכיוון אחד. לא ניתן לבטל אותם כמעט בשום מצב. שינוי הפרוטוקול החדש הזה יערער את הציווי הבסיסי הזה וכדי לתקן את מה שלא נשבר.
אז איך זה עובד כאשר תוקף גונב את ERC-20R ומוציא כסף ל-ETH באמצעות DEX באותה עסקה? או ש-ERC-20R לא יהיה תואם למערכת האקולוגית הנוכחית של DeFi? https://t.co/n5pN82ZBBe
— רומן סמנוב ️ (@semenov_roman_) ספטמבר 25, 2022
יש גם את העובדה שאפילו יישום אסימונים כאלה יהיה סיוט לוגיסטי. אלא אם כל פלטפורמה תעבור לתקן החדש, אז יהיו פערים עצומים במערכת, כלומר גנבים יכולים פשוט להחליף במהירות את הנכסים ההפיכים שלהם בנכסים שאינם הפיכים ולהימנע לחלוטין מההשלכות. זה יהפוך את הנכס כולו לחסר טעם לחלוטין, וסביר להניח שמשתמשים פשוט לא יתקשרו איתו.
יתר על כן, כל הרעיון של ביקורת שיפוטית מרמז על ריכוזיות. האם עצמאות מצד שלישי היא לא הדבר המדויק שעבורו נוצר מטבע קריפטוגרפי? ההצעה הקיימת לא ברורה לגבי אופן בחירת השופטים הללו, מלבד שהיא תהיה "אקראית". בלי שהמערכת תהיה מאוזנת בזהירות רבה, קשה לומר שקנוניה או מניפולציה בלתי אפשרית.
הצעה יותר טובה
בסופו של דבר, הרעיון של נכס קריפטו הפיך עשוי להיות בעל כוונות טובות אך הוא גם מיותר לחלוטין. הנחת היסוד מציגה מורכבויות חדשות רבות במונחים של שילוב בפועל שלה במערכות קיימות, וזה אפילו בהנחה שפלטפורמות רוצות לנצל אותה. עם זאת, ישנן דרכים אחרות להשיג אבטחה במערכת האקולוגית המבוזרת שאינן מערערות את מה שהופך את המטבע הקריפטוגרפי לעוצמתי כל כך מלכתחילה.
ראשית, ביקורת של כל קודי החוזים החכמים באופן שוטף. בעיות רבות ב מימון מבוזר (DeFi) נובעים מניצולים הקיימים בחוזים החכמים הבסיסיים. ביקורות אבטחה מקיפות ובלתי תלויות יכולות לעזור למצוא היכן קיימות בעיות פוטנציאליות לפני שחרור הפרוטוקולים הללו. יתרה מזאת, חשוב לנסות להבין כיצד חוזים מרובים יתקשרו יחד כאשר הם יוצאים לאוויר, מכיוון שבעיות מסוימות מתעוררות רק כאשר נעשה בהם שימוש בטבע.
לכל חוזה שנפרס יהיו גורמי סיכון שיש לנטר ולהגן מפניהם. עם זאת, לצוותי פיתוח רבים אין פתרון ניטור אבטחה חזק במקום. לעתים קרובות, הסימן הראשון לכך שמשהו בעייתי קורה מגיע מאבחון על השרשרת. עסקאות מסיביות או חריגות ודפוסי עסקה לא שכיחים אחרים יכולים להצביע על מתקפה שמתרחשת בזמן אמת. היכולת לזהות ולהבין את האותות הללו היא המפתח לשמירה עליהם.
מידע נוסף: מסגרת הקריפטו האנמית של ביידן לא הציעה שום דבר חדש
כמובן שצריכה להיות גם מערכת לתיעוד והקלטת אירועים והעברת המידע החשוב ביותר לגורמים הנכונים. ניתן לשלוח התראות מסוימות לצוות המפתחים ואחרות יכולות להיות זמינות לקהילה. עם קהילה מיודעת כך, אבטחה טובה יותר יכולה לבוא באופן שמתיישר עם האתוס המבוזר במקום שהיא תידחה לפונקציה של ביקורת שיפוטית.
בואו נסתכל אחורה על פריצת רונין כדוגמה. לקח שישה ימים שלמים עד שהצוות שמאחורי הפרויקט הבין שהתרחשה תקיפה, רק כשמשתמש התלונן שאין ביכולתו למשוך כספים. אם ניטור בזמן אמת של הרשת היה קיים, תגובה הייתה יכולה להתרחש כמעט מיד כאשר התרחשה העסקה הגדולה והחשודה הראשונה. במקום זאת, איש לא שם לב במשך כמעט שבוע, מה שנותן לתוקף מספיק זמן להמשיך להעביר כספים ולטשטש את ההיסטוריה שלהם.
זה נראה די ברור שאסימונים הפיכים לא היו עוזרים הרבה למצב הזה, אבל הניטור יכול היה לעשות זאת. עד שהבחין בכך, רבים מהמטבעות הגנובים הועברו שוב ושוב על פני ארנקים ובורסות. האם כל העסקאות הללו יכולות להתהפך? המורכבות שהוצגה, כמו גם הסיכונים החדשים האפשריים שנוצרו, גורמים לכך שהמאמץ הזה פשוט לא שווה את המאמץ. במיוחד כשחושבים על כך שכבר קיימים מנגנונים רבי עוצמה שיכולים להציע רמה דומה של אבטחה ואחריות.
במקום להתעסק עם הנוסחה שהופכת את הקריפטו לעוצמתי כל כך, יהיה הרבה יותר הגיוני ליישם תהליכי אבטחה מקיפים ומתמשכים ברחבי Web3 כך שנכסים מבוזרים יישארו בלתי ניתנים לשינוי אך לא בלתי מוגנים.
סטיבן לויד וובר הוא מהנדס תוכנה ומחבר בעל ניסיון מגוון בפישוט מצבים מורכבים. הוא מוקסם מקוד פתוח, ביזור וכל דבר ב-Ethereum blockchain. סטיבן עובד כיום בשיווק מוצרים ב-Open Zeppelin, חברת טכנולוגיות ושירותי אבטחת סייבר קריפטו מובילה, ויש לו תואר שני בכתיבה באנגלית מאוניברסיטת ניו מקסיקו סטייט.
מאמר זה נועד למטרות מידע כללי ואינו מיועד ואין לראות בו כייעוץ משפטי או השקעות. הדעות, המחשבות והדעות המובעות כאן הן של המחבר בלבד ואינן בהכרח משקפות או מייצגות את הדעות והדעות של קוינטלגרף.
מקור: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures