اگر توسعه دهندگان اقدامات امنیتی اولیه را انجام می دادند، می توانستند از هک کریپتو در سال 2022 جلوگیری کنند
کاربرانی که سرمایه خود را به دلیل فعالیت های مخرب از دست می دهند، در اتریوم به سختی ناشناخته است. در واقع، به همین دلیل است که محققان اخیراً پیشنهادی برای معرفی نوعی توکن ارائه کردهاند که در صورت هک یا سایر رفتارهای نامطلوب قابل برگشت است.
به طور خاص، این پیشنهاد شامل ایجاد یک ERC-20R و ERC-721R است که نسخه های اصلاح شده استانداردهایی هستند که هم توکن های معمولی اتریوم و هم توکن های غیرقابل تعویض (NFT) را کنترل می کنند.
فرض به این صورت است: این استاندارد جدید به کاربران اجازه میدهد تا در مورد تراکنشهای اخیر «درخواست مسدود کردن» ارائه کنند که تا زمانی که «سیستم قضایی غیرمتمرکز» اعتبار تراکنش را تعیین کند، آن وجوه را قفل میکند. هر دو طرف اجازه دارند مدارک خود را ارائه دهند و قضات به طور تصادفی از یک مجموعه غیرمتمرکز انتخاب می شوند تا تبانی به حداقل برسد.
در پایان فرآیند، حکم صادر میشد و یا وجوه برگردانده میشد یا همان جایی که هستند میماندند. این تصمیم پس از آن قطعی خواهد بود و مشمول هیچ گونه مناقشه دیگری نخواهد بود. این یک مسیر عملی را برای قربانیان هک و سایر فعالیت های مخرب باز می کند تا دارایی های خود را به شیوه ای مستقیم و مبتنی بر جامعه بازپس گیرند.
متأسفانه، این ممکن است یک پیشنهاد غیر ضروری و در نهایت مضر باشد. یکی از پایه های فلسفه غیرمتمرکز این است که معاملات فقط در یک جهت انجام می شود. آنها عملا تحت هیچ شرایطی قابل بازگرداندن نیستند. این تغییر پروتکل جدید، این اصل اساسی را تضعیف می کند و به منظور اصلاح مواردی که شکسته نشده است.
بنابراین وقتی یک مهاجم ERC-20R را میدزدد و از طریق یک DEX در همان تراکنش به ETH پول نقد میدهد، این چگونه کار میکند؟ یا ERC-20R با اکوسیستم DeFi فعلی ناسازگار خواهد بود؟ https://t.co/n5pN82ZBBe
— رومن سمنوف ️ (@semenov_roman_) 25 سپتامبر 2022
همچنین این واقعیت وجود دارد که حتی پیاده سازی چنین نشانه هایی یک کابوس لجستیکی خواهد بود. مگر اینکه تک تک پلتفرمها به استاندارد جدید منتقل شوند، شکافهای بزرگی در سیستم ایجاد میشود، به این معنی که سارقان میتوانند به سادگی داراییهای برگشتپذیر خود را به سرعت با داراییهای غیرقابل برگشت عوض کنند و از عواقب آن کاملاً جلوگیری کنند. این امر کل دارایی را کاملاً بیمعنا میسازد و احتمالاً کاربران به سادگی با آن درگیر نمیشوند.
علاوه بر این، کل ایده بررسی قضایی مستلزم تمرکز است. آیا استقلال از شخص ثالث دقیقاً همان چیزی نیست که ارز دیجیتال برای آن ایجاد شده است؟ پیشنهاد موجود در مورد نحوه انتخاب این داوران مشخص نیست، به جز اینکه “تصادفی” خواهد بود. بدون اینکه سیستم به دقت متعادل باشد، سخت است که بگوییم تبانی یا دستکاری غیرممکن است.
یک پیشنهاد بهتر
در نهایت، مفهوم دارایی رمزنگاری برگشت پذیر ممکن است با نیت خوب باشد، اما همچنین کاملا غیر ضروری است. این فرضیه پیچیدگیهای جدید بسیاری را از نظر ادغام واقعی آن در سیستمهای موجود معرفی میکند، و این حتی با این فرض است که پلتفرمها بخواهند از آن استفاده کنند. با این حال، راههای دیگری برای دستیابی به امنیت در اکوسیستم غیرمتمرکز وجود دارد که چیزی را که در ابتدا ارز دیجیتال را بسیار قدرتمند میکند، تضعیف نمیکند.
یکی، ممیزی همه کدهای قرارداد هوشمند به صورت مداوم. بسیاری از مشکلات در امور مالی غیرمتمرکز (DeFi) از سوء استفاده های موجود در قراردادهای هوشمند اساسی ناشی می شود. ممیزی های امنیتی جامع و مستقل می تواند به یافتن مشکلات احتمالی قبل از انتشار این پروتکل ها کمک کند. علاوه بر این، مهم است که درک کنید چگونه قراردادهای متعدد با هم در هنگام پخش زنده تعامل خواهند داشت، زیرا برخی از مسائل تنها زمانی به وجود می آیند که از آنها در طبیعت استفاده می شود.
هر قرارداد مستقر شده دارای عوامل خطری است که باید تحت نظارت و دفاع قرار گیرد. با این حال، بسیاری از تیم های توسعه راه حل نظارتی امنیتی قوی ندارند. اغلب، اولین نشانهای که نشان میدهد چیزی مشکلساز در حال رخ دادن است، از تشخیص زنجیرهای میآید. تراکنش های عظیم یا غیرعادی و سایر الگوهای تراکنش غیر معمول می توانند به حمله ای اشاره کنند که در زمان واقعی اتفاق می افتد. توانایی تشخیص و درک این سیگنالها برای ماندن در بالای آنها کلیدی است.
مربوط: چارچوب کریپتو کم خون بایدن چیز جدیدی ارائه نکرد
البته باید سیستمی برای ثبت و ضبط رویدادها و انتقال مهم ترین اطلاعات به نهادهای صحیح نیز وجود داشته باشد. برخی از هشدارها را می توان برای تیم توسعه دهنده ارسال کرد و برخی دیگر را می توان در دسترس جامعه قرار داد. با آگاهی جامعه از این طریق، امنیت بهتر میتواند به گونهای باشد که با اخلاق غیرمتمرکز همسو باشد، نه اینکه تحت نظارت قضایی قرار گیرد.
بیایید به عنوان مثال به هک رونین نگاه کنیم. شش روز کامل طول کشید تا تیم پشت پروژه متوجه شد که حمله ای رخ داده است، تنها زمانی متوجه شدند که کاربر شکایت کرد که قادر به برداشت وجه نیست. اگر نظارت بلادرنگ شبکه وجود داشت، پاسخ می توانست تقریباً فوراً هنگام وقوع اولین تراکنش بزرگ و مشکوک اتفاق بیفتد. در عوض، تقریباً یک هفته هیچ کس متوجه نشد و به مهاجم فرصت کافی داد تا به جابجایی وجوه خود ادامه دهد و تاریخچه خود را مبهم کند.
به نظر کاملا واضح است که توکن های برگشت پذیر کمک چندانی به این وضعیت نمی کردند، اما نظارت می توانست کمک کند. تا زمانی که متوجه شد، بسیاری از سکه های سرقت شده به طور مکرر به کیف پول ها و صرافی ها منتقل شده بودند. آیا می توان همه این تراکنش ها را معکوس کرد؟ پیچیدگی های معرفی شده، و همچنین خطرات احتمالی جدید ایجاد شده، به این معنی است که این تلاش به سادگی ارزش تلاش را ندارد. به خصوص وقتی در نظر بگیرید که مکانیسم های قدرتمندی در حال حاضر وجود دارد که می تواند سطح مشابهی از امنیت و مسئولیت پذیری را ارائه دهد.
به جای درهمرفتن با فرمولی که کریپتو را بسیار قدرتمند میکند، پیادهسازی فرآیندهای امنیتی جامع و مستمر در Web3 بسیار منطقیتر خواهد بود تا داراییهای غیرمتمرکز تغییر ناپذیر باقی بمانند اما محافظت نشده باشند.
استیون لوید وبر یک مهندس نرم افزار و نویسنده با تجربه متنوع در ساده سازی موقعیت های پیچیده است. او مجذوب منبع باز، تمرکززدایی و هر چیزی در بلاک چین اتریوم است. استفن در حال حاضر در بازاریابی محصول در Open Zeppelin، یک شرکت برتر فناوری و خدمات امنیت سایبری کریپتو کار میکند و دارای مدرک MFA به زبان انگلیسی از دانشگاه ایالتی نیومکزیکو است.
این مقاله برای اهداف اطلاعاتی عمومی است و در نظر گرفته نشده است و نباید به عنوان مشاوره حقوقی یا سرمایه گذاری در نظر گرفته شود. دیدگاه ها، افکار و نظرات بیان شده در اینجا به تنهایی متعلق به نویسنده است و لزوماً منعکس کننده یا نماینده دیدگاه ها و نظرات Cointelegraph نیست.