Milyen megoldások léteznek a hackertámadások elkerüléséhez?
A felhasználók hackertámadások során elvesztett pénze aligha ismeretlen az Ethereum világában. Erre javaslatként kutatók a visszavonható tranzakciók ötletével álltak elő, amely megoldást nyújthat a csalások elkerülésére.
Az ötlet szerint létrehoznának egy ERC-20 és egy ERC-721R tokent, amelyek a szabványok módosított változatai lennének. Ezzel lehetővé válna annak lehetősége, hogy a felhasználók befagyasszák a legutóbbi tranzakcióikat. A pénzeszközök így zárolva lennének, amíg egy ”decentralizált bírói rendszer” hitelesíti a tranzakció érvényességét. Ennek során mindkét félnek lehetővé tennék, hogy bemutassák bizonyítékait a hitelességüket illetően, majd ennek elbírálására egy decentralizált poolból random bírókat választanának ki, hogy minimalizálják a csalás lehetőségét. A folyamat végén ítélet születik, amely után vagy visszaadják a pénzeszközöket, vagy ott maradnak, ahol vannak. A döntések véglegesek lennének, így a későbbi megvitatása annak nem lenne lehetséges.
Azonban akadnak olyan jelentős gondok, amelyek az ötletet feleslegessé, sőt károssá nyilvánítják. A decentralizált filozófia egyik sarokköve, hogy a tranzakciók csak egyirányúak, azokat nem lehet megváltoztatni. Az új protokollváltoztatás aláásná ezt az alapelvet, amit a legtöbben nem hajlandóak megengedni.
So how does this work when an attacker steals ERC-20R and cashes out to ETH via a DEX in the same transaction? Or ERC-20R will be incompatible with the current DeFi ecosystem? https://t.co/n5pN82ZBBe
— Roman Semenov 🌪️ (@semenov_roman_) September 25, 2022
„Hogyan működik ez, amennyiben egy támadó ellopja az ERC-20R-t, és ugyanabban a tranzakcióban ETH-ra váltja a DEX-en keresztül? Vagy az ERC-20R nem lesz kompatibilis a jelenlegi DeFi ökoszisztémával?” – írja Roman Semenov a Twitteren.
Másrészt ezen tokenek implementációja logisztikai nehézségekbe is ütközne. Hacsak minden egyes platform nem áll át az új szabványra, akkor nagy rések lennének a új rendszerben. Ez pedig a csalóknak kedvezne, akik gyorsan elcserélhetnék a visszavonható eszközeiket nem visszavonhatóakra. Így teljesen értelmetlenné válna az egész, és több mint valószínű, hogy a felhasználók egyszerűen nem foglalkoznának vele. Továbbá a javaslat által említett felülvizsgálat egész gondolata központosítást hozna. Épp a harmadik féltől való függetlenség az, amiért a kriptovalutákat létrehozták.
Alternatíva a hackertámadások ellen
A visszavonható tranzakciók elképzelése megoldás lehet, de teljesen felesleges is. Az integrációja valóban új és bonyolult megoldásokat kíván, amit nem biztos, hogy minden platform el akar fogadni. Azonban léteznek más járható utak is a biztonság növeléséhez a decentralizált világban, ami nem ássa alá a kriptovaluták erősségét.
Egy másik megoldás pedig az összes okosszerződés kódjának folyamatos auditálása. A DeFi sok problémája a mögöttes okosszerződésekben jelen lévő feltörésekből ered. Az átfogó és független biztonsági auditok segíthetnek megtalálni, hogy hol vannak potenciális problémák, mielőtt ezek a protokollok elindítása megtörténik. Emellett fontos, hogy megpróbáljuk megérteni több szerződés hogyan fog együttműködni egymással, amikor élesbe lépnek, mivel egyes problémák csak ilyenkor látnak napvilágot.
Továbbá egy olyan rendszerre is szükség van, amely dokumentálja és rögzíti az eseményeket, és a legfontosabb információkat eljuttatja a megfelelő szervezetekhez. Néhány ilyen figyelmeztetést elküldhet a fejlesztői csapatnak, néhányat pedig a közösség számára is elérhetővé tesz. A jól informált közösséggel a jobb biztonság oly módon jöhet létre, amely összhangban van a decentralizáltsággal, ahelyett, hogy a bírók által végzett felülvizsgálat funkciójára szorulnánk.
Vegyük példaként a Ronin esetét. A projekt mögött álló csapatnak 6 nap kellett, mire rájöttek, hogy hackertámadás történt. Továbbá csak akkor tudatosult bennük ennek megtörténte, mikor már egy felhasználó panaszkodott, hogy nem tudott pénzt kivenni. Az esetre gyorsabban tudtak volna reagálni, amennyiben a hálózatot folyamatos megfigyelés alatt tartják, mikor az első nagy, gyanús tranzakcióra sor került. Ehelyett senki sem vett észre semmi szokatlant 6 napig, így a támadónak bőven volt ideje a terve megvalósításához.
A visszavonható tranzakciók nem sokat segítettek volna ebben az esetben, de a megfigyelés valóban gyorsabb cselekvést tett volna lehetővé. Mire a támadást azonosították, az ellopott érmék közül sokat már többször is átutaltak tárcák és tőzsdék között.
Összességében pedig sokan azt javasolják ahelyett, hogy megváltoztatnánk a kriptók legnagyobb erősségét, értelmesebb lenne folyamatos biztonsági módszereket alkalmazni ezen eszközök védelme érdekében.