Los usuarios que pierden fondos debido a actividades maliciosas no son desconocidos en Ethereum. De hecho, es precisamente la razón por la que los investigadores desarrollaron recientemente una propuesta para introducir un tipo de token que sea reversible en caso de pirateo u otros comportamientos desagradables.
Específicamente, la sugerencia vería la creación de un ERC-20R y un ERC-721R, que serían versiones modificadas de los estándares que rigen tanto los tokens regulares de Ethereum como los tokens no fungibles (NFT).
La premisa es la siguiente: este nuevo estándar permitiría a los usuarios realizar una "solicitud de congelación" en transacciones recientes que bloquearían esos fondos hasta que un "sistema judicial descentralizado" determinara la validez de la transacción. Se permitiría a ambas partes presentar sus pruebas y los jueces se elegirían al azar de un grupo descentralizado para minimizar la colusión.
Al final del proceso, se llegaría a un veredicto y los fondos serían devueltos o se quedarían donde están. Esta decisión sería entonces definitiva y no estaría sujeta a más disputas. Esto abriría una vía práctica para que las víctimas de hackeos y otras actividades maliciosas recuperen sus activos de manera directa e impulsada por la comunidad.
Desafortunadamente, esto bien puede ser una proposición innecesaria y, en última instancia, dañina. Una de las piedras angulares de la filosofía descentralizada es que las transacciones solo van en una dirección. No se pueden deshacer bajo prácticamente ninguna circunstancia. Este nuevo cambio de protocolo socavaría ese precepto fundamental y con el fin de arreglar lo que no está roto.
Entonces, ¿cómo funciona esto cuando un atacante roba ERC-20R y cobra a ETH a través de un DEX en la misma transacción? ¿O ERC-20R será incompatible con el ecosistema DeFi actual? https://t.co/n5pN82ZBBe
— Roman Semenov ️ (@semenov_roman_) 25 de septiembre de 2022
También está el hecho de que incluso implementar dichos tokens sería una pesadilla logística. A menos que todas las plataformas cambiaran al nuevo estándar, habría grandes brechas en el sistema, lo que significa que los ladrones podrían cambiar rápidamente sus activos reversibles por otros no reversibles y evitar las repercusiones por completo. Esto haría que todo el activo fuera completamente inútil, y lo más probable es que los usuarios simplemente no se comprometieran con él.
Además, toda la idea de una revisión judicial implica centralización. ¿No es la independencia de un tercero exactamente para lo que se creó la criptomoneda? La propuesta existente no es clara sobre cómo se eligen estos jueces, aparte de que será "al azar". Sin que el sistema esté cuidadosamente equilibrado, es difícil decir que la colusión o la manipulación son imposibles.
Una mejor propuesta
En última instancia, la noción de un criptoactivo reversible puede tener buenas intenciones, pero también es completamente innecesaria. La premisa introduce muchas complejidades nuevas en términos de su integración real en los sistemas existentes, y eso incluso suponiendo que las plataformas quieran utilizarlo. Sin embargo, hay otras formas de lograr la seguridad en el ecosistema descentralizado que, para empezar, no socavan lo que hace que las criptomonedas sean tan poderosas.
Por un lado, la auditoría de todos los códigos de contratos inteligentes de forma continua. Muchos problemas en finanzas descentralizadas (DeFi) surgen de exploits presentes en los contratos inteligentes subyacentes. Las auditorías de seguridad integrales e independientes pueden ayudar a encontrar dónde existen problemas potenciales antes de que se publiquen estos protocolos. Además, es importante tratar de comprender cómo interactuarán los contratos múltiples cuando se publiquen, ya que algunos problemas solo surgen cuando se usan en la naturaleza.
Cualquier contrato implementado tendrá factores de riesgo que deben ser monitoreados y defendidos. Sin embargo, muchos equipos de desarrollo no cuentan con una solución sólida de monitoreo de seguridad. A menudo, la primera señal de que algo problemático está sucediendo proviene de un diagnóstico en cadena. Las transacciones masivas o inusuales y otros patrones de transacciones poco comunes pueden señalar un ataque que se está produciendo en tiempo real. Ser capaz de detectar y comprender estas señales es clave para estar al tanto de ellas.
Relacionado: El marco criptográfico anémico de Biden no ofreció nada nuevo
Por supuesto, también debe existir un sistema para documentar y registrar eventos y comunicar la información más importante a las entidades correctas. Algunas alertas se pueden enviar al equipo de desarrolladores y otras se pueden poner a disposición de la comunidad. Con una comunidad así informada, una mejor seguridad puede venir de una manera que se alinee con el ethos descentralizado en lugar de relegarla a una función de revisión judicial.
Veamos el truco de Ronin como ejemplo. El equipo detrás del proyecto tardó seis días completos en darse cuenta de que había ocurrido un ataque, y solo se dio cuenta cuando un usuario se quejó de que no podía retirar fondos. Si se hubiera implementado el monitoreo en tiempo real de la red, una respuesta podría haber ocurrido casi instantáneamente cuando ocurrió la primera transacción grande y sospechosa. En cambio, nadie se dio cuenta durante casi una semana, lo que le dio al atacante tiempo suficiente para continuar moviendo fondos y oscureciendo su historial.
Parece bastante obvio que los tokens reversibles no habrían ayudado mucho en esta situación, pero el monitoreo podría haberlo hecho. En el momento en que se notó, muchas de las monedas robadas se habían transferido repetidamente a través de billeteras y casas de cambio. ¿Podrían revertirse todas estas transacciones? Las complejidades introducidas, así como los posibles nuevos riesgos creados, significan que este esfuerzo simplemente no vale la pena. Especialmente cuando considera que ya existen poderosos mecanismos que pueden ofrecer un nivel similar de seguridad y responsabilidad.
En lugar de jugar con la fórmula que hace que las criptomonedas sean tan poderosas, tendría mucho más sentido implementar procesos de seguridad completos y continuos en Web3 para que los activos descentralizados permanezcan inmutables pero no desprotegidos.
Stephen Lloyd Webber es ingeniero de software y autor con diversa experiencia en la simplificación de situaciones complejas. Está fascinado por el código abierto, la descentralización y cualquier cosa en la cadena de bloques de Ethereum. Stephen trabaja actualmente en marketing de productos en Open Zeppelin, una importante empresa de tecnología y servicios de criptoseguridad cibernética, y tiene una maestría en escritura en inglés de la Universidad Estatal de Nuevo México.
Este artículo es para fines de información general y no pretende ser ni debe tomarse como asesoramiento legal o de inversión. Los puntos de vista, pensamientos y opiniones expresados aquí son solo del autor y no reflejan ni representan necesariamente los puntos de vista y opiniones de Cointelegraph.
Fuente: https://cointelegraph.com/news/developers-could-have-prevented-crypto-s-2022-hacks-if-they-took-basic-security-measures