如果开发人员采取基本的安全措施,他们本可以阻止加密货币 2022 年的黑客攻击

Cointelegraph中文 view 152767 2022-11-15 09:29
share to
Scan QR code with WeChat

加密不需要可逆交易,它需要实时威胁监控和更多审计。

由于恶意活动而损失资金的用户在以太坊上几乎不为人知。事实上,这正是研究人员最近提出了一项提议,以引入一种在发生黑客攻击或其他不良行为时可逆的令牌的原因。

具体来说,该建议将看到创建 ERC-20R 和 ERC-721R,这将是管理常规以太坊代币和不可替代代币 (NFT)的标准的修改版本。

前提是这样的:这个新标准将允许用户对最近的交易提出“冻结请求”,这将锁定这些资金,直到“去中心化的司法系统”确定交易的有效性。双方将被允许出示他们的证据,法官将从分散的池中随机选择,以尽量减少串通。

在该过程结束时,将做出裁决,要么将资金退回,要么将它们留在原地。该决定将是最终决定,不再有争议。这将为黑客和其他恶意活动的受害者以直接和社区驱动的方式取回他们的资产开辟一条切实可行的途径。

不幸的是,这很可能是一个不必要且最终有害的提议。去中心化哲学的基石之一是交易只向一个方向发展。它们几乎在任何情况下都无法撤消。这种新的协议更改将破坏该基本规则并修复未破坏的内容。

那么,当攻击者窃取 ERC-20R 并在同一交易中通过 DEX 兑现到 ETH 时,这是如何工作的呢?还是 ERC-20R 将与当前的 DeFi 生态系统不兼容?

—semenov_roman (@semenov_roman_) 2022 年 9 月 25 日

还有一个事实是,即使实施这样的代币也将是一场后勤噩梦。除非每个平台都转向新标准,否则系统中将存在巨大差距,这意味着窃贼可以简单地快速将其可逆资产换成不可逆资产,从而完全避免后果。这将使整个资产变得毫无意义,用户很可能根本不会参与其中。

此外,司法审查的整个想法意味着集中化。独立于第三方难道不是创建加密货币的确切目的吗?现有的提案并不清楚这些法官是如何选择的,除了它将是“随机的”。如果系统没有经过非常仔细的平衡,很难说勾结或操纵是不可能的。

更好的提议

最终,可逆加密资产的概念可能是善意的,但也完全没有必要。就其与现有系统的实际集成而言,该前提引入了许多新的复杂性,甚至假设平台想要利用它。但是,还有其他方法可以在分散的生态系统中实现安全性,这些方法不会破坏使加密货币一开始就如此强大的原因。

一方面,持续审计所有智能合约代码。去中心化金融 (DeFi)中的许多问题都源于底层智能合约中存在的漏洞。全面且独立的安全审计有助于在这些协议发布之前找出潜在问题所在。此外,重要的是要尝试了解多个合约在上线时如何相互作用,因为有些问题只有在野外使用时才会出现。

任何已部署的合约都将具有应监控和防御的风险因素。然而,许多开发团队并没有一个强大的安全监控解决方案。通常,出现问题的第一个迹象来自链上诊断。大量或不寻常的交易以及其他不常见的交易模式可能指向实时发生的攻击。能够发现并理解这些信号是掌握这些信号的关键。

当然,还需要一个系统来记录和记录事件并将最重要的信息传达给正确的实体。一些警报可以发送给开发团队,而其他警报可以提供给社区。有了这样一个知情的社区,更好的安全性可以以符合去中心化精神的方式出现,而不是被降级为司法审查的功能。

让我们以 Ronin hack 为例。该项目背后的团队花了整整六天时间才意识到发生了攻击,直到用户抱怨他们无法提取资金时才意识到。如果对网络进行了实时监控,那么当第一笔大型可疑交易发生时,几乎可以立即做出响应。相反,近一周没有人注意到,这让攻击者有足够的时间继续转移资金并掩盖他们的历史。

似乎很明显,可逆令牌对这种情况没有多大帮助,但监控可以。当人们注意到它时,许多被盗的硬币已经在钱包和交易所反复转移。所有这些交易都可以撤销吗?引入的复杂性以及可能产生的新风险意味着这种努力根本不值得付出努力。尤其是当您考虑到已经存在可以提供类似级别的安全性和问责制的强大机制时。

与其弄乱使加密如此强大的公式,不如在 Web3 上实施全面且持续的安全流程,以使去中心化资产保持不可变但不受保护,这将更有意义。

btcfans公众号

Scan QR code with WeChat

Disclaimer:

Previous: DeFi每周交易量达到320亿美元 Next: Ledger 硬件钱包的首席技术官声称该平台在 FTX 大崩盘中面临可扩展性问题

Related