用户因恶意活动而损失资金在以太坊上几乎不为人知。 事实上,这正是研究人员最近提出一项提案的原因,该提案旨在引入一种在发生黑客攻击或其他不良行为时可逆的代币。
具体来说,该建议将创建 ERC-20R 和 ERC-721R,这将是管理常规以太坊代币和 不可替代令牌(NFT).
前提是这样的:这个新标准将允许用户对最近的交易提出“冻结请求”,锁定这些资金,直到“分散的司法系统”确定交易的有效性。 双方将被允许出示他们的证据,法官将从分散的池中随机选择,以尽量减少串通。
在流程结束时,将作出裁决,要么退还资金,要么保留原状。 然后,该决定将是最终决定,不得再有争议。 这将为黑客和其他恶意活动的受害者以直接和社区驱动的方式取回他们的资产开辟一条实用途径。
不幸的是,这很可能是一个不必要且最终有害的提议。 去中心化哲学的基石之一是交易只能朝着一个方向进行。 它们几乎在任何情况下都无法撤消。 这个新的协议更改将破坏该基本规则并修复未被破坏的部分。
那么,当攻击者窃取 ERC-20R 并在同一交易中通过 DEX 兑现到 ETH 时,这是如何工作的呢? 还是 ERC-20R 将与当前的 DeFi 生态系统不兼容? https://t.co/n5pN82ZBBe
— 罗曼·谢苗诺夫 (@semenov_roman_) 2022 年 9 月 25 日
还有一个事实,即使实施这样的代币也将是一场后勤噩梦。 除非每个平台都转向新标准,否则系统中将存在巨大漏洞,这意味着窃贼可以简单地快速将其可逆资产换成不可逆资产,从而完全避免后果。 这将使整个资产变得毫无意义,而且用户很可能根本不会参与其中。
此外,司法审查的整个想法意味着中央集权。 独立于第三方不正是创建加密货币的目的吗? 现有提案并不清楚这些法官是如何选择的,只是“随机”。 如果系统没有经过非常仔细的平衡,很难说串通或操纵是不可能的。
更好的提议
最终,可逆加密资产的概念可能是出于善意,但也完全没有必要。 该前提在其与现有系统的实际集成方面引入了许多新的复杂性,甚至假设平台想要利用它。 然而,还有其他方法可以在去中心化生态系统中实现安全性,这些方法不会破坏加密货币最初如此强大的原因。
其一,持续审计所有智能合约代码。 中的许多问题 分散式金融(DeFi) 源于底层智能合约中存在的漏洞。 全面和独立的安全审计可以帮助在这些协议发布之前发现潜在问题存在的地方。 此外,重要的是要尝试了解多个合约在上线时如何相互作用,因为有些问题只有在实际使用时才会出现。
任何已部署的合同都将具有应监控和防范的风险因素。 然而,许多开发团队并没有一个强大的安全监控解决方案。 通常,出现问题的第一个迹象来自链上诊断。 大量或不寻常的交易以及其他不寻常的交易模式可能指向实时发生的攻击。 能够发现并理解这些信号是掌握它们的关键。
相关新闻: 拜登乏力的加密货币框架没有提供任何新东西
当然,还需要有一个系统来记录和记录事件并将最重要的信息传达给正确的实体。 一些警报可以发送给开发团队,其他警报可以提供给社区。 有了这样的社区,更好的安全性可以以符合去中心化精神的方式出现,而不是被降级为司法审查的功能。
让我们回顾一下 Ronin 黑客攻击的例子。 该项目背后的团队花了整整六天时间才意识到发生了攻击,直到用户抱怨他们无法提取资金时才意识到这一点。 如果对网络进行实时监控,那么当第一笔大额可疑交易发生时,几乎可以立即做出响应。 相反,几乎一个星期都没有人注意到,这让攻击者有足够的时间继续转移资金并掩盖他们的历史。
很明显,可逆令牌不会对这种情况有多大帮助,但监控可能有帮助。 当它被发现时,许多被盗的硬币已经在钱包和交易所之间反复转移。 所有这些交易都可以逆转吗? 引入的复杂性以及可能产生的新风险意味着这种努力根本不值得付出努力。 特别是当您认为已经存在可以提供类似级别的安全性和问责制的强大机制时。
与其搞乱使加密如此强大的公式,不如在 Web3 中实施全面和持续的安全流程更有意义,这样去中心化资产保持不变但并非不受保护。
斯蒂芬劳埃德韦伯 是一名软件工程师和作家,在简化复杂情况方面拥有丰富的经验。 他对开源、去中心化和以太坊区块链上的任何事物都很着迷。 Stephen 目前在领先的加密网络安全技术和服务公司 Open Zeppelin 从事产品营销工作,并拥有新墨西哥州立大学英语写作硕士学位。
本文仅供一般参考之用,并非旨在也不应被视为法律或投资建议。 此处表达的观点、想法和意见仅代表作者个人,并不一定反映或代表 Cointelegraph 的观点和意见。
资料来源:https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures