Gli utenti che perdono fondi a causa di attività dannose non sono quasi sconosciuti su Ethereum. In effetti, è proprio questo il motivo per cui i ricercatori hanno recentemente sviluppato una proposta per introdurre un tipo di token reversibile in caso di hack o altri comportamenti sgradevoli.
Nello specifico, il suggerimento vedrebbe la creazione di un ERC-20R e ERC-721R, che sarebbero versioni modificate degli standard che regolano sia i normali token di Ethereum che token non fungibili (NFT).
La premessa è questa: questo nuovo standard consentirebbe agli utenti di fare una "richiesta di blocco" su transazioni recenti che bloccherebbe quei fondi fino a quando un "sistema giudiziario decentralizzato" non determinerà la validità della transazione. Entrambe le parti sarebbero autorizzate a presentare le loro prove e i giudici sarebbero scelti a caso da un pool decentralizzato per ridurre al minimo la collusione.
Alla fine del processo, verrebbe raggiunto un verdetto e i fondi verrebbero restituiti o rimarrebbero dove si trovano. Questa decisione sarebbe quindi definitiva e non soggetta a ulteriori contestazioni. Ciò aprirebbe una strada pratica per le vittime di hack e altre attività dannose per recuperare le proprie risorse in modo diretto e guidato dalla comunità.
Sfortunatamente, questa potrebbe essere una proposta non necessaria e in definitiva dannosa. Uno dei capisaldi della filosofia decentralizzata è che le transazioni vanno solo in una direzione. Non possono essere annullati praticamente in nessuna circostanza. Questa nuova modifica del protocollo minerebbe quel precetto fondamentale e al fine di riparare ciò che non è rotto.
Quindi, come funziona quando un utente malintenzionato ruba ERC-20R e incassa a ETH tramite un DEX nella stessa transazione? O ERC-20R sarà incompatibile con l'attuale ecosistema DeFi? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) 25 settembre 2022
C'è anche il fatto che anche l'implementazione di tali token sarebbe un incubo logistico. A meno che ogni singola piattaforma non passasse al nuovo standard, ci sarebbero enormi lacune nel sistema, il che significa che i ladri potrebbero semplicemente scambiare rapidamente i loro beni reversibili con quelli non reversibili ed evitare completamente le ripercussioni. Ciò renderebbe l'intera risorsa completamente inutile e molto probabilmente gli utenti semplicemente non interagirebbero con essa.
Inoltre, l'intera idea di controllo giurisdizionale implica una centralizzazione. L'indipendenza da una terza parte non è l'esatto motivo per cui è stata creata la criptovaluta? La proposta esistente non è chiara su come vengono scelti questi giudici, a parte il fatto che sarà "casuale". Senza che il sistema sia accuratamente bilanciato, è difficile dire che la collusione o la manipolazione siano impossibili.
Una proposta migliore
In definitiva, la nozione di criptovaluta reversibile può essere ben intenzionata ma è anche del tutto superflua. La premessa introduce molte nuove complessità in termini di effettiva integrazione nei sistemi esistenti, e questo presuppone anche che le piattaforme vogliano utilizzarlo. Tuttavia, ci sono altri modi per ottenere la sicurezza nell'ecosistema decentralizzato che non minano ciò che rende la criptovaluta così potente tanto per cominciare.
Per uno, il controllo di tutti i codici degli smart contract su base continuativa. Molti problemi dentro finanza decentralizzata (DeFi) derivano da exploit presenti negli smart contract sottostanti. Controlli di sicurezza completi e indipendenti possono aiutare a trovare dove esistono potenziali problemi prima che questi protocolli vengano rilasciati. Inoltre, è importante cercare di capire in che modo più contratti interagiranno insieme quando andranno in diretta, poiché alcuni problemi sorgono solo quando vengono utilizzati in natura.
Qualsiasi contratto implementato avrà fattori di rischio che dovrebbero essere monitorati e difesi. Tuttavia, molti team di sviluppo non dispongono di una solida soluzione di monitoraggio della sicurezza. Spesso, il primo segno che sta accadendo qualcosa di problematico proviene da una diagnosi on-chain. Transazioni massicce o insolite e altri modelli di transazione non comuni possono indicare un attacco che sta avvenendo in tempo reale. Essere in grado di individuare e comprendere questi segnali è la chiave per tenerli al passo.
Correlato: Il framework crittografico anemico di Biden non offriva nulla di nuovo
Naturalmente, è necessario anche disporre di un sistema per documentare e registrare gli eventi e comunicare le informazioni più importanti alle entità corrette. Alcuni avvisi possono essere inviati al team di sviluppatori e altri possono essere resi disponibili alla community. Con una comunità così informata, una migliore sicurezza può arrivare in un modo che si allinea con l'etica decentralizzata piuttosto che essere relegata a una funzione di revisione giudiziaria.
Diamo un'occhiata all'hack di Ronin come esempio. Ci sono voluti sei giorni interi prima che il team dietro il progetto si rendesse conto che si era verificato un attacco, venendo a conoscenza solo quando un utente si è lamentato di non essere in grado di prelevare fondi. Se fosse stato attivato il monitoraggio in tempo reale della rete, una risposta sarebbe potuta avvenire quasi istantaneamente quando si è verificata la prima transazione sospetta di grandi dimensioni. Nessuno invece se ne è accorto per quasi una settimana, dando all'attaccante tutto il tempo per continuare a muovere fondi e oscurare la propria storia.
Sembra abbastanza ovvio che i token reversibili non avrebbero aiutato molto questa situazione, ma il monitoraggio avrebbe potuto farlo. Quando è stato notato, molte delle monete rubate erano state trasferite ripetutamente su portafogli e borse. È possibile annullare tutte queste transazioni? Le complessità introdotte, così come i possibili nuovi rischi creati, significano che questo sforzo semplicemente non vale lo sforzo. Soprattutto se si considera che esistono già potenti meccanismi che possono offrire un livello simile di sicurezza e responsabilità.
Invece di pasticciare con la formula che rende le criptovalute così potenti, avrebbe molto più senso implementare processi di sicurezza completi e continui su Web3 in modo che le risorse decentralizzate rimangano immutabili ma non non protette.
Stephen Lloyd Webber è un ingegnere del software e autore con diverse esperienze nella semplificazione di situazioni complesse. È affascinato dall'open source, dal decentramento e da qualsiasi cosa sulla blockchain di Ethereum. Stephen sta attualmente lavorando nel marketing di prodotto presso Open Zeppelin, una delle principali società di tecnologia e servizi di sicurezza informatica crittografica, e ha un master in inglese presso la New Mexico State University.
Questo articolo è a scopo informativo generale e non è inteso e non deve essere considerato un consiglio legale o di investimento. I punti di vista, i pensieri e le opinioni qui espressi sono solo dell'autore e non riflettono necessariamente o rappresentano i punti di vista e le opinioni di Cointelegraph.
Fonte: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures