악의적인 활동으로 인해 자금을 잃는 사용자는 Ethereum에서 거의 알려지지 않았습니다. 실제로 연구원들이 최근 해킹이나 기타 불미스러운 행동이 발생할 경우 되돌릴 수 있는 일종의 토큰을 도입하자는 제안을 개발한 것도 바로 이 때문입니다.
특히 이 제안은 ERC-20R 및 ERC-721R의 생성을 볼 수 있으며, 이는 일반 이더리움 토큰과 대체 불가능한 토큰 (NFT).
전제는 다음과 같습니다. 이 새로운 표준을 통해 사용자는 "분산된 사법 시스템"이 거래의 유효성을 결정할 때까지 해당 자금을 잠그는 최근 거래에 대해 "동결 요청"을 할 수 있습니다. 양 당사자는 증거를 제시할 수 있으며 담합을 최소화하기 위해 분산된 풀에서 판사를 무작위로 선택합니다.
프로세스가 끝나면 평결에 도달하고 자금이 반환되거나 그대로 유지됩니다. 그러면 이 결정이 최종적이며 더 이상 논쟁의 대상이 되지 않습니다. 이렇게 하면 해킹 및 기타 악의적인 활동의 피해자가 직접적이고 커뮤니티 중심의 방식으로 자산을 되찾을 수 있는 실질적인 방법이 열릴 것입니다.
불행히도 이것은 불필요하고 궁극적으로 해로운 제안일 수 있습니다. 탈중앙화 철학의 초석 중 하나는 트랜잭션이 한 방향으로만 진행된다는 것입니다. 거의 모든 상황에서 취소할 수 없습니다. 이 새로운 프로토콜 변경은 그 근본적인 교훈을 약화시키고 깨지지 않은 것을 고치기 위해.
그렇다면 공격자가 ERC-20R을 훔치고 동일한 거래에서 DEX를 통해 ETH로 현금화할 때 이것은 어떻게 작동합니까? 아니면 ERC-20R이 현재 DeFi 생태계와 호환되지 않습니까? https://t.co/n5pN82ZBBe
— 로마 Semenov ️ (@semenov_roman_) 2022 년 9 월 25 일
그러한 토큰을 구현하는 것조차 물류상의 악몽이 될 것이라는 사실도 있습니다. 모든 단일 플랫폼이 새로운 표준으로 전환되지 않는 한, 시스템에 큰 차이가 있을 것입니다. 즉, 도둑이 되돌릴 수 있는 자산을 되돌릴 수 없는 자산으로 신속하게 교체하고 그 영향을 완전히 피할 수 있습니다. 이것은 전체 자산을 완전히 무의미하게 만들고 사용자가 단순히 자산에 참여하지 않을 가능성이 높습니다.
더욱이, 사법 심사의 전체 아이디어는 중앙 집중화를 의미합니다. 제XNUMX자로부터의 독립이 바로 암호화폐가 만들어진 목적이 아닙니까? 기존 제안은 "무작위"가 될 것이라는 점 외에는 이러한 심사 위원이 어떻게 선택되는지에 대해 명확하지 않습니다. 시스템이 매우 신중하게 균형을 이루지 않고서는 담합이나 조작이 불가능하다고 말하기 어렵습니다.
더 나은 제안
궁극적으로 가역 암호화 자산의 개념은 의도가 좋을 수 있지만 완전히 불필요한 것이기도 합니다. 전제는 기존 시스템에 대한 실제 통합 측면에서 많은 새로운 복잡성을 도입하며 플랫폼이 이를 활용하기를 원한다고 가정합니다. 그러나 처음부터 암호화폐를 그토록 강력하게 만드는 요소를 훼손하지 않으면서 탈중앙화 생태계에서 보안을 달성할 수 있는 다른 방법이 있습니다.
하나는 지속적으로 모든 스마트 계약 코드를 감사하는 것입니다. 많은 문제 분산 금융 (DeFi) 기본 스마트 계약에 존재하는 악용으로 인해 발생합니다. 포괄적이고 독립적인 보안 감사는 이러한 프로토콜이 릴리스되기 전에 잠재적인 문제가 있는 위치를 찾는 데 도움이 될 수 있습니다. 또한 일부 문제는 야생에서 사용될 때만 발생하기 때문에 여러 계약이 실행될 때 어떻게 상호 작용하는지 이해하는 것이 중요합니다.
배포된 모든 계약에는 모니터링하고 방어해야 하는 위험 요소가 있습니다. 그러나 많은 개발 팀에는 강력한 보안 모니터링 솔루션이 없습니다. 종종 문제가 발생하고 있다는 첫 번째 징후는 온체인 진단에서 나옵니다. 대규모 또는 비정상적인 트랜잭션 및 기타 일반적이지 않은 트랜잭션 패턴은 실시간으로 발생하는 공격을 가리킬 수 있습니다. 이러한 신호를 파악하고 이해할 수 있는 것이 신호를 파악하는 데 중요합니다.
관련 : 바이든의 빈약한 암호 프레임워크는 새로운 것을 제공하지 않았습니다.
물론 이벤트를 문서화 및 기록하고 가장 중요한 정보를 올바른 엔티티에 전달하기 위한 시스템도 있어야 합니다. 일부 알림은 개발자 팀에 보낼 수 있고 다른 알림은 커뮤니티에서 사용할 수 있습니다. 이렇게 정보를 받은 커뮤니티를 통해 더 나은 보안은 사법 검토의 기능으로 이관되기보다는 분산된 정신에 부합하는 방식으로 올 수 있습니다.
예를 들어 Ronin 해킹을 다시 살펴보겠습니다. 프로젝트 배후의 팀이 공격이 발생했음을 깨닫는 데 꼬박 XNUMX일이 걸렸으며, 사용자가 자금을 인출할 수 없다고 불평했을 때만 알게 되었습니다. 네트워크에 대한 실시간 모니터링이 있었다면 첫 번째 대규모 의심스러운 거래가 발생했을 때 거의 즉각적으로 대응이 이루어졌을 것입니다. 대신, 거의 일주일 동안 아무도 눈치채지 못하여 공격자가 계속해서 자금을 이동하고 기록을 숨길 수 있는 충분한 시간을 제공했습니다.
가역 토큰이 이 상황에 크게 도움이 되지 않았을 것이 상당히 명백해 보이지만 모니터링은 도움이 될 수 있었습니다. 발견 당시 도난당한 코인 중 다수는 지갑과 거래소를 통해 반복적으로 전송되었습니다. 이 모든 거래가 취소될 수 있습니까? 도입된 복잡성과 생성될 수 있는 새로운 위험은 이러한 노력이 노력할 가치가 없음을 의미합니다. 특히 유사한 수준의 보안 및 책임을 제공할 수 있는 강력한 메커니즘이 이미 존재한다는 점을 고려할 때 그렇습니다.
암호화를 매우 강력하게 만드는 공식을 어지럽히는 대신 Web3에서 포괄적이고 지속적인 보안 프로세스를 구현하여 분산된 자산이 변경 불가능하지만 보호되지 않은 상태로 유지되도록 하는 것이 훨씬 더 합리적입니다.
스티븐 로이드 웨버 복잡한 상황을 단순화하는 다양한 경험을 가진 소프트웨어 엔지니어이자 저자입니다. 그는 오픈 소스, 탈중앙화 및 이더리움 블록체인의 모든 것에 매료되었습니다. Stephen은 현재 최고의 암호화 사이버 보안 기술 및 서비스 회사인 Open Zeppelin에서 제품 마케팅을 담당하고 있으며 New Mexico State University에서 영문 MFA를 취득했습니다.
이 기사는 일반적인 정보를 제공하기 위한 것이며 법적 또는 투자 조언으로 의도되지 않았으며 받아들여서도 안 됩니다. 여기에 표현된 견해, 생각, 의견은 전적으로 저자의 것이며 반드시 코인텔레그래프의 견해와 의견을 반영하거나 대표하는 것은 아닙니다.
출처: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures