Benutzer, die aufgrund böswilliger Aktivitäten Geld verlieren, sind auf Ethereum kaum unbekannt. Tatsächlich ist dies genau der Grund, warum Forscher kürzlich einen Vorschlag zur Einführung einer Art von Token entwickelt haben, der im Falle eines Hacks oder anderer unappetitlicher Verhaltensweisen umkehrbar ist.
Insbesondere würde der Vorschlag die Schaffung eines ERC-20R und eines ERC-721R vorsehen, die modifizierte Versionen der Standards wären, die sowohl reguläre Ethereum-Token als auch Ethereum-Token regeln nicht fungible Token (NFTs).
Die Prämisse lautet wie folgt: Dieser neue Standard würde es Benutzern ermöglichen, eine „Einfrieren-Anfrage“ für kürzlich getätigte Transaktionen zu stellen, die diese Gelder sperren würde, bis ein „dezentralisiertes Justizsystem“ die Gültigkeit der Transaktion bestimmt. Beide Parteien könnten ihre Beweise vorlegen, und die Richter würden nach dem Zufallsprinzip aus einem dezentralen Pool ausgewählt, um Absprachen zu minimieren.
Am Ende des Prozesses würde ein Urteil gefällt und entweder die Gelder zurückerstattet oder sie würden dort bleiben, wo sie sind. Diese Entscheidung wäre dann endgültig und nicht mehr anfechtbar. Dies würde Opfern von Hacks und anderen böswilligen Aktivitäten einen praktischen Weg eröffnen, um ihre Vermögenswerte auf direkte und von der Community gesteuerte Weise zurückzuerhalten.
Leider kann dies ein unnötiger und letztendlich schädlicher Vorschlag sein. Einer der Eckpfeiler der dezentralen Philosophie ist, dass Transaktionen nur in eine Richtung gehen. Sie können praktisch unter keinen Umständen rückgängig gemacht werden. Diese neue Protokolländerung würde dieses grundlegende Gebot untergraben und reparieren, was nicht kaputt ist.
Wie funktioniert das also, wenn ein Angreifer ERC-20R stiehlt und in derselben Transaktion über einen DEX an ETH auszahlt? Oder wird ERC-20R mit dem aktuellen DeFi-Ökosystem nicht kompatibel sein? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) 25. September 2022
Hinzu kommt, dass selbst die Implementierung solcher Token ein logistischer Albtraum wäre. Wenn nicht jede einzelne Plattform auf den neuen Standard umgestellt würde, gäbe es riesige Lücken im System, was bedeutet, dass Diebe ihre umkehrbaren Vermögenswerte einfach schnell gegen nicht umkehrbare austauschen und die Auswirkungen vollständig vermeiden könnten. Dies würde das gesamte Asset völlig sinnlos machen, und höchstwahrscheinlich würden sich die Benutzer einfach nicht damit beschäftigen.
Darüber hinaus impliziert die ganze Idee einer gerichtlichen Überprüfung eine Zentralisierung. Ist die Unabhängigkeit von Dritten nicht genau das, wofür Kryptowährung geschaffen wurde? Der bestehende Vorschlag ist nicht klar darüber, wie diese Richter ausgewählt werden, außer dass es „zufällig“ sein wird. Ohne dass das System sehr sorgfältig ausbalanciert ist, ist es schwer zu sagen, dass geheime Absprachen oder Manipulationen unmöglich sind.
Ein besserer Vorschlag
Letztendlich mag die Idee eines reversiblen Krypto-Assets gut gemeint sein, ist aber auch völlig unnötig. Die Prämisse führt viele neue Komplexitäten in Bezug auf die tatsächliche Integration in bestehende Systeme ein, und das setzt sogar voraus, dass Plattformen sie nutzen wollen. Es gibt jedoch andere Möglichkeiten, Sicherheit im dezentralen Ökosystem zu erreichen, die nicht untergraben, was Kryptowährungen so mächtig macht.
Zum einen die laufende Prüfung aller Smart-Contract-Codes. Viele Probleme drin dezentrale Finanzierung (DeFi) entstehen durch Exploits in den zugrunde liegenden Smart Contracts. Umfassende und unabhängige Sicherheitsaudits können dabei helfen, potenzielle Probleme zu finden, bevor diese Protokolle freigegeben werden. Darüber hinaus ist es wichtig zu verstehen, wie mehrere Verträge miteinander interagieren, wenn sie live gehen, da einige Probleme nur auftreten, wenn sie in freier Wildbahn verwendet werden.
Jeder eingesetzte Vertrag hat Risikofaktoren, die überwacht und abgewehrt werden sollten. Viele Entwicklungsteams verfügen jedoch nicht über eine robuste Sicherheitsüberwachungslösung. Oftmals kommt das erste Anzeichen dafür, dass etwas Problematisches passiert, aus einer On-Chain-Diagnose. Massive oder ungewöhnliche Transaktionen und andere ungewöhnliche Transaktionsmuster können auf einen Angriff hinweisen, der in Echtzeit stattfindet. In der Lage zu sein, diese Signale zu erkennen und zu verstehen, ist der Schlüssel, um sie im Auge zu behalten.
Related: Bidens anämisches Krypto-Framework bot nichts Neues
Natürlich muss auch ein System vorhanden sein, um Ereignisse zu dokumentieren und aufzuzeichnen und die wichtigsten Informationen an die richtigen Stellen zu übermitteln. Einige Benachrichtigungen können an das Entwicklerteam gesendet und andere der Community zur Verfügung gestellt werden. Mit einer so informierten Gemeinschaft kann eine bessere Sicherheit auf eine Weise erreicht werden, die dem dezentralisierten Ethos entspricht, anstatt sie auf die Funktion einer gerichtlichen Überprüfung zu reduzieren.
Schauen wir als Beispiel auf den Ronin-Hack zurück. Es dauerte volle sechs Tage, bis das Team hinter dem Projekt erkannte, dass ein Angriff stattgefunden hatte, und es erst bemerkte, als sich ein Benutzer beschwerte, dass er kein Geld abheben konnte. Wenn eine Echtzeitüberwachung des Netzwerks vorhanden gewesen wäre, hätte eine Reaktion fast sofort erfolgen können, wenn die erste große, verdächtige Transaktion stattfand. Stattdessen bemerkte es fast eine Woche lang niemand, was dem Angreifer genügend Zeit gab, weiterhin Geld zu bewegen und seine Geschichte zu verschleiern.
Es scheint ziemlich offensichtlich, dass umkehrbare Token in dieser Situation nicht viel geholfen hätten, aber Überwachung hätte es tun können. Als es bemerkt wurde, waren viele der gestohlenen Münzen wiederholt über Wallets und Börsen transferiert worden. Könnten all diese Transaktionen einfach rückgängig gemacht werden? Die eingeführte Komplexität sowie die möglicherweise neu geschaffenen Risiken bedeuten, dass sich dieses Unterfangen einfach nicht lohnt. Vor allem, wenn man bedenkt, dass es bereits leistungsstarke Mechanismen gibt, die ein ähnliches Maß an Sicherheit und Rechenschaftspflicht bieten können.
Anstatt an der Formel herumzuspielen, die Krypto so mächtig macht, wäre es viel sinnvoller, umfassende und kontinuierliche Sicherheitsprozesse in Web3 zu implementieren, damit dezentrale Assets unveränderlich, aber nicht ungeschützt bleiben.
Stephen Lloyd Webber ist Softwareentwickler und Autor mit vielfältiger Erfahrung in der Vereinfachung komplexer Situationen. Er ist fasziniert von Open Source, Dezentralisierung und allem auf der Ethereum-Blockchain. Stephen arbeitet derzeit im Produktmarketing bei Open Zeppelin, einem führenden Unternehmen für Krypto-Cybersicherheitstechnologie und -dienstleistungen, und hat einen MFA in englischer Sprache von der New Mexico State University.
Dieser Artikel dient allgemeinen Informationszwecken und soll nicht als Rechts- oder Anlageberatung verstanden werden. Die hier geäußerten Ansichten, Gedanken und Meinungen sind allein die des Autors und spiegeln oder repräsentieren nicht unbedingt die Ansichten und Meinungen von Cointelegraph.
Quelle: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures