Rejtett kontroll a blokkláncokon: a Bybit 16 hálózaton talált befagyasztási lehetőséget
A Bybit biztonsági csapata, a Lazarus Security Lab új kutatásában 16 olyan blokkláncot azonosított, amelyek képesek befagyasztani vagy korlátozni a felhasználók pénzét. Elsőre ez akár hasznos biztonsági funkciónak is tűnhet, de valójában a kriptovilág egyik alapelvét, a decentralizációt kérdőjelezi meg. Hiszen ha valaki más le tudja tiltani a tárcádat, akkor vajon tényleg tiéd a kontroll a kriptód felett?
A jelentésben összesen 166 hálózatot vizsgáltak át mesterséges intelligenciával és manuális kódellenőrzéssel. A 16 érintett lánc között nemcsak kisebb projektek szerepeltek, olyan ismert nevek is felbukkantak, mint a BNB Chain, VeChain, Chiliz, Aptos vagy az EOS.
Három különböző módon lehet „befagyasztani” a felhasználók pénzét
A Bybit kutatói három fő módszert azonosítottak, ahogyan egy blokklánc szinten be lehet fagyasztani a felhasználói pénzeket. Az első és legdirektebb megoldás a forráskódba épített tiltólista. Ilyenkor a hálózat maga tartalmazza azoknak a címeknek a listáját, amelyekről tranzakciót már nem lehet indítani. Ezt a megoldást használja például a BNB Chain és a VeChain is.
A második típus a konfigurációs fájlokon alapuló tiltás, ahol a korlátozásokat nem a kódban, hanem külön fájlokban kezelik, ilyenek például a YAML, ENV vagy TOML formátumú beállítások. Ezekhez jellemzően csak a validátorok, az alapítvány vagy a fő fejlesztők férnek hozzá. A tíz érintett hálózat között olyan ismert nevek szerepelnek, mint az Aptos, az EOS vagy a Sui.
A harmadik módszer az okosszerződés-alapú befagyasztás, amelynél maga a hálózaton futó szerződés hajtja végre a letiltást. Ezt a megoldást jelenleg csak a Huobi Eco Chain (Heco) használja, és ez az egyetlen példa, ahol a tiltás valóban on-chain történik.
A kutatók szerint további 19 blokklánc szintén képes lenne ilyen funkció bevezetésére kisebb protokollmódosításokkal. Ezeknél a rendszerben úgynevezett modulfiókok működnek, amelyek nem privát kulccsal, hanem előre programozott logikával irányítják a tranzakciókat. Elméletben tehát ezek is alkalmasak lehetnek a felhasználói pénzek korlátozására.
Biztonság vagy kontroll?
A kutatók szerint a legtöbb hálózatban a befagyasztás eredetileg biztonsági célokat szolgál, tehát segít visszaszerezni az ellopott vagy feltört pénzeket. Csakhogy ezzel együtt megjelenik a központosított beavatkozás lehetősége is. Ha egy hálózat képes befagyasztani a felhasználók pénzét, az azt is jelenti, hogy valaki valahol dönthet arról, hogy ezt mikor és miért teszi meg.
A téma most különösen aktuális, hiszen a Bybit idén 1,5 milliárd dolláros cold wallet-hack áldozata lett, ez az egyik legnagyobb biztonsági incidens a kriptotörténelemben. Ebből összesen mintegy 42 millió dollárnyi kriptopénzt tudtak befagyasztani.
Ez az eset jól mutatja a kriptoipar egyik alapdilemmáját, ha a rendszert meg lehet védeni, akkor azt meg is lehet állítani. A határ a védelem és a cenzúra között sokkal vékonyabb, mint amennyire a decentralizált szó sejteti.
Hol a határ?
Ma már alig akad olyan blokklánc, amely valóban teljesen decentralizált. A legtöbb hálózat valamilyen formában lehetőséget ad a beavatkozásra jogi, biztonsági vagy éppen technikai okokból. Ezzel együtt viszont felmerül a kérdés, hogy meddig lehet elmenni anélkül, hogy a decentralizáció elveszítené a lényegét? Hol van az a pont, amikor a biztonság már inkább kontrollt jelent?