Usuários perdendo fundos devido a atividades maliciosas dificilmente são desconhecidos no Ethereum. Na verdade, é a razão pela qual os pesquisadores desenvolveram recentemente uma proposta para introduzir um tipo de token que é reversível no caso de um hack ou outros comportamentos desagradáveis.
Especificamente, a sugestão veria a criação de um ERC-20R e ERC-721R, que seriam versões modificadas dos padrões que regem os tokens Ethereum regulares e tokens não fungíveis (NFTs).
A premissa é a seguinte: esse novo padrão permitiria que os usuários fizessem uma “solicitação de congelamento” em transações recentes que bloqueariam esses fundos até que um “sistema judiciário descentralizado” determinasse a validade da transação. Ambas as partes poderiam apresentar suas provas, e os juízes seriam escolhidos aleatoriamente de um grupo descentralizado para minimizar o conluio.
Ao final do processo, um veredicto seria alcançado e os fundos seriam devolvidos ou eles permaneceriam onde estão. Esta decisão seria então final e não sujeita a mais controvérsias. Isso abriria um caminho prático para as vítimas de hacks e outras atividades maliciosas recuperarem seus ativos de maneira direta e orientada pela comunidade.
Infelizmente, isso pode muito bem ser uma proposta desnecessária e, em última análise, prejudicial. Um dos pilares da filosofia descentralizada é que as transações só vão em uma direção. Eles não podem ser desfeitos em praticamente nenhuma circunstância. Essa nova mudança de protocolo prejudicaria esse preceito fundamental e de forma a consertar o que não está quebrado.
Então, como isso funciona quando um invasor rouba o ERC-20R e saca para o ETH por meio de um DEX na mesma transação? Ou o ERC-20R será incompatível com o atual ecossistema DeFi? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) 25 de Setembro de 2022
Há também o fato de que mesmo implementar esses tokens seria um pesadelo logístico. A menos que cada plataforma mudasse para o novo padrão, haveria enormes lacunas no sistema, o que significa que os ladrões poderiam simplesmente trocar rapidamente seus ativos reversíveis por não reversíveis e evitar completamente as repercussões. Isso tornaria todo o ativo completamente inútil e, mais do que provavelmente, os usuários simplesmente não se envolveriam com ele.
Além disso, toda a ideia de revisão judicial implica centralização. A independência de terceiros não é a coisa exata para a qual a criptomoeda foi criada? A proposta existente não é clara sobre como esses juízes são escolhidos, exceto que será “aleatório”. Sem que o sistema seja cuidadosamente equilibrado, é difícil dizer que o conluio ou a manipulação são impossíveis.
Uma proposta melhor
Em última análise, a noção de um ativo criptográfico reversível pode ser bem intencionada, mas também é totalmente desnecessária. A premissa introduz muitas novas complexidades em termos de sua integração real em sistemas existentes, e isso mesmo supondo que as plataformas queiram utilizá-la. No entanto, existem outras maneiras de obter segurança no ecossistema descentralizado que não prejudicam o que torna a criptomoeda tão poderosa para começar.
Por um lado, a auditoria de todos os códigos de contratos inteligentes de forma contínua. Muitos problemas em financiamento descentralizado (DeFi) surgem de explorações presentes nos contratos inteligentes subjacentes. Auditorias de segurança abrangentes e independentes podem ajudar a descobrir onde existem problemas potenciais antes que esses protocolos sejam lançados. Além disso, é importante tentar entender como vários contratos irão interagir juntos quando forem lançados, pois alguns problemas só surgem quando são usados em estado selvagem.
Qualquer contrato implantado terá fatores de risco que devem ser monitorados e defendidos. No entanto, muitas equipes de desenvolvimento não possuem uma solução robusta de monitoramento de segurança. Muitas vezes, o primeiro sinal de que algo problemático está acontecendo vem de um diagnóstico em cadeia. Transações massivas ou incomuns e outros padrões de transação incomuns podem apontar para um ataque que está acontecendo em tempo real. Ser capaz de identificar e entender esses sinais é a chave para ficar em cima deles.
Relacionado: A estrutura de criptografia anêmica de Biden não ofereceu nada de novo
É claro que também precisa haver um sistema para documentar e registrar eventos e comunicar as informações mais importantes às entidades corretas. Alguns alertas podem ser enviados para a equipe de desenvolvedores e outros podem ser disponibilizados para a comunidade. Com uma comunidade assim informada, melhor segurança pode vir de uma maneira que se alinha com o ethos descentralizado, em vez de ser relegada a uma função de revisão judicial.
Vamos olhar para o hack do Ronin como exemplo. Levou seis dias inteiros para a equipe por trás do projeto perceber que um ataque havia ocorrido, só tomando conhecimento quando um usuário reclamou que não conseguia sacar fundos. Se o monitoramento em tempo real da rede estivesse em vigor, uma resposta poderia ter ocorrido quase que instantaneamente quando ocorresse a primeira transação grande e suspeita. Em vez disso, ninguém percebeu por quase uma semana, dando ao invasor tempo suficiente para continuar movimentando fundos e obscurecendo seu histórico.
Parece bastante óbvio que os tokens reversíveis não teriam ajudado muito nessa situação, mas o monitoramento poderia ter ajudado. No momento em que foi notado, muitas das moedas roubadas haviam sido transferidas repetidamente entre carteiras e trocas. Todas essas transações poderiam ser revertidas? As complexidades introduzidas, bem como os possíveis novos riscos criados, significam que esse esforço simplesmente não vale o esforço. Especialmente quando você considera que já existem mecanismos poderosos que podem oferecer um nível semelhante de segurança e responsabilidade.
Em vez de mexer com a fórmula que torna a criptografia tão poderosa, faria muito mais sentido implementar processos de segurança abrangentes e contínuos na Web3 para que os ativos descentralizados permaneçam imutáveis, mas não desprotegidos.
Stephen Lloyd Webber é engenheiro de software e autor com experiência diversificada na simplificação de situações complexas. Ele é fascinado por código aberto, descentralização e qualquer coisa na blockchain Ethereum. Stephen está atualmente trabalhando em marketing de produtos na Open Zeppelin, uma empresa de tecnologia e serviços de segurança cibernética de primeira linha, e tem um MFA em escrita em inglês pela New Mexico State University.
Este artigo é para fins de informação geral e não pretende ser e não deve ser considerado como aconselhamento jurídico ou de investimento. Os pontos de vista, pensamentos e opiniões expressos aqui são de responsabilidade exclusiva do autor e não refletem ou representam necessariamente os pontos de vista e opiniões da Cointelegraph.
Fonte: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures