Go brin bod defnyddwyr sy'n colli arian oherwydd gweithgaredd maleisus yn hysbys ar Ethereum. Mewn gwirionedd, dyma'r union reswm y datblygodd ymchwilwyr gynnig yn ddiweddar i gyflwyno math o docyn y gellir ei wrthdroi os bydd darnia neu ymddygiadau annymunol eraill.
Yn benodol, byddai'r awgrym yn gweld creu ERC-20R ac ERC-721R, a fyddai'n fersiynau wedi'u haddasu o'r safonau sy'n llywodraethu tocynnau Ethereum rheolaidd a tocynnau anffungible (NFTs).
Mae'r rhagosodiad yn mynd fel hyn: byddai'r safon newydd hon yn caniatáu i ddefnyddwyr wneud “cais rhewi” ar drafodion diweddar a fyddai'n cloi'r cronfeydd hynny nes bod “system farnwriaeth ddatganoledig” yn pennu dilysrwydd y trafodiad. Byddai'r ddwy ochr yn cael cyflwyno eu tystiolaeth, a byddai'r beirniaid yn cael eu dewis ar hap o gronfa ddatganoledig i leihau cydgynllwynio.
Ar ddiwedd y broses, byddai dyfarniad yn cael ei gyrraedd a naill ai byddai'r arian yn cael ei ddychwelyd neu byddent yn aros lle y maent. Byddai'r penderfyniad hwn wedyn yn derfynol ac ni fyddai'n destun unrhyw ddadl arall. Byddai hyn yn agor llwybr ymarferol i ddioddefwyr haciau a gweithgaredd maleisus arall i gael eu hasedau yn ôl mewn modd uniongyrchol sy'n cael ei yrru gan y gymuned.
Yn anffodus, gall hwn fod yn gynnig diangen a niweidiol yn y pen draw. Un o gonglfeini'r athroniaeth ddatganoledig yw bod trafodion yn mynd i un cyfeiriad yn unig. Ni ellir eu dadwneud o dan bron unrhyw amgylchiadau. Byddai'r newid protocol newydd hwn yn tanseilio'r praesept sylfaenol hwnnw ac er mwyn trwsio'r hyn nad yw'n cael ei dorri.
Felly sut mae hyn yn gweithio pan fydd ymosodwr yn dwyn ERC-20R ac yn cyfnewid arian i ETH trwy DEX yn yr un trafodiad? Neu a fydd ERC-20R yn anghydnaws â'r ecosystem DeFi gyfredol? https://t.co/n5pN82ZBBe
— Rhufeinig Semenov ️ (@semenov_roman_) Medi 25, 2022
Mae yna hefyd y ffaith y byddai hyd yn oed gweithredu tocynnau o'r fath yn hunllef logistaidd. Oni bai bod pob platfform yn symud drosodd i'r safon newydd, yna byddai bylchau enfawr yn y system, gan olygu y gallai lladron gyfnewid eu hasedau cildroadwy yn gyflym am rai na ellir eu gwrthdroi ac osgoi'r ôl-effeithiau yn llwyr. Byddai hyn yn gwneud yr ased cyfan yn gwbl ddibwrpas, ac yn fwy na thebyg ni fyddai defnyddwyr yn ymgysylltu ag ef.
At hynny, mae’r holl syniad o adolygiad barnwrol yn awgrymu canoli. Onid annibyniaeth oddi wrth drydydd parti yw'r union beth y crëwyd arian cyfred digidol ar ei gyfer? Nid yw’r cynnig presennol yn glir ar sut mae’r beirniaid hyn yn cael eu dewis, heblaw y bydd yn “hap.” Heb gydbwyso'r system yn ofalus iawn, mae'n anodd dweud bod cydgynllwynio neu drin yn amhosibl.
Cynnig gwell
Yn y pen draw, efallai y bydd y syniad o ased cripto cildroadwy yn un llawn bwriadau ond mae hefyd yn gwbl ddiangen. Mae'r rhagosodiad yn cyflwyno llawer o gymhlethdodau newydd o ran ei integreiddio gwirioneddol i systemau presennol, ac mae hynny hyd yn oed yn rhagdybio bod llwyfannau eisiau ei ddefnyddio. Fodd bynnag, mae yna ffyrdd eraill o sicrhau diogelwch yn yr ecosystem ddatganoledig nad ydynt yn tanseilio'r hyn sy'n gwneud cryptocurrency mor bwerus i ddechrau.
Ar gyfer un, archwilio'r holl godau contract clyfar yn barhaus. Llawer o broblemau yn cyllid datganoledig (DeFi) yn deillio o gampau sy'n bresennol yn y contractau smart sylfaenol. Gall archwiliadau diogelwch cynhwysfawr ac annibynnol helpu i ganfod lle mae problemau posibl yn bodoli cyn i'r protocolau hyn gael eu rhyddhau. Ar ben hynny, mae'n bwysig ceisio deall sut y bydd contractau lluosog yn rhyngweithio â'i gilydd pan fyddant yn mynd yn fyw, gan fod rhai materion yn codi dim ond pan fyddant yn cael eu defnyddio yn y gwyllt.
Bydd gan unrhyw gontract a ddefnyddir ffactorau risg y dylid eu monitro ac amddiffyn yn eu herbyn. Fodd bynnag, nid oes gan lawer o dimau datblygu ateb monitro diogelwch cadarn ar waith. Yn aml, mae'r arwydd cyntaf bod rhywbeth problemus yn digwydd yn dod o ddiagnosis ar-gadwyn. Gall trafodion enfawr neu anarferol a phatrymau trafodion anghyffredin eraill dynnu sylw at ymosodiad sy'n digwydd mewn amser real. Mae gallu gweld a deall y signalau hyn yn allweddol i aros ar eu pennau.
Cysylltiedig: Nid oedd fframwaith crypto anemig Biden yn cynnig dim byd newydd
Wrth gwrs, mae angen system hefyd ar gyfer dogfennu a chofnodi digwyddiadau a chyfleu'r wybodaeth bwysicaf i'r endidau cywir. Gellir anfon rhai rhybuddion at y tîm datblygwyr a gall eraill fod ar gael i'r gymuned. Gyda chymuned felly’n wybodus, gall gwell diogelwch ddod mewn modd sy’n cyd-fynd â’r ethos datganoledig yn hytrach na’i fod yn cael ei ddiarddel i swyddogaeth adolygiad barnwrol.
Gadewch i ni edrych yn ôl ar y darnia Ronin fel enghraifft. Cymerodd chwe diwrnod llawn i'r tîm y tu ôl i'r prosiect sylweddoli bod ymosodiad wedi digwydd, dim ond dod yn ymwybodol pan gwynodd defnyddiwr nad oedd yn gallu tynnu arian yn ôl. Pe bai monitro amser real o'r rhwydwaith wedi bod ar waith, gallai ymateb fod wedi digwydd bron yn syth pan ddigwyddodd y trafodiad mawr, amheus cyntaf. Yn lle hynny, ni sylwodd neb am bron i wythnos, gan roi digon o amser i'r ymosodwr barhau i symud arian a chuddio ei hanes.
Mae'n weddol amlwg na fyddai tocynnau cildroadwy wedi helpu llawer ar y sefyllfa hon, ond gallai monitro fod wedi bod. Erbyn iddo gael ei sylwi, roedd llawer o'r darnau arian a ddygwyd wedi'u trosglwyddo dro ar ôl tro ar draws waledi a chyfnewidfeydd. A ellid gwrthdroi'r holl drafodion hyn? Mae'r cymhlethdodau a gyflwynwyd, yn ogystal â'r risgiau newydd posibl a grëwyd, yn golygu nad yw'r ymdrech hon yn werth yr ymdrech. Yn enwedig pan ystyriwch fod mecanweithiau pwerus eisoes yn bodoli a all gynnig lefel debyg o ddiogelwch ac atebolrwydd.
Yn hytrach na llanast â'r fformiwla sy'n gwneud crypto mor bwerus, byddai'n gwneud llawer mwy o synnwyr i weithredu prosesau diogelwch cynhwysfawr a pharhaus ar draws Web3 fel bod asedau datganoledig yn parhau i fod yn ddigyfnewid ond heb eu diogelu.
Stephen Lloyd Webber yn beiriannydd meddalwedd ac yn awdur gyda phrofiad amrywiol mewn symleiddio sefyllfaoedd cymhleth. Mae'n cael ei swyno gan ffynhonnell agored, datganoli ac unrhyw beth ar y blockchain Ethereum. Ar hyn o bryd mae Stephen yn gweithio ym maes marchnata cynnyrch yn Open Zeppelin, cwmni technoleg a gwasanaethau seiberddiogelwch o'r radd flaenaf, ac mae ganddo MFA mewn ysgrifennu Saesneg o Brifysgol Talaith New Mexico.
Mae'r erthygl hon at ddibenion gwybodaeth gyffredinol ac ni fwriedir iddi fod ac ni ddylid ei chymryd fel cyngor cyfreithiol neu fuddsoddi. Barn yr awdur yn unig yw'r safbwyntiau, y meddyliau a'r safbwyntiau a fynegir yma ac nid ydynt o reidrwydd yn adlewyrchu nac yn cynrychioli safbwyntiau a barn Cointelegraph.
Ffynhonnell: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures