Un raport recent publicat de laboratorul de securitate Lazarus al platformei Bybit aruncă o lumină neașteptată asupra capacităților reale ale blockchain-urilor considerate descentralizate. Și să recunoaștem, pentru mulți dintre noi care credem în promisiunea tehnologiei blockchain, descoperirile nu sunt tocmai reconfortante.
Cercetătorii au descoperit că 16 rețele au integrate în mod direct mecanisme de blocare a fondurilor. Mai mult, alte 19 ar putea implementa astfel de funcții prin modificări relativ simple ale protocoalelor lor. Practic, vorbim de aproape o treime din blockchain-urile analizate care fie pot deja, fie ar putea foarte ușor să îți blocheze fondurile.
Studiul a fost destul de amplu. S-au analizat 166 de blockchain-uri diferite, folosind inteligență artificială împreună cu verificări manuale pentru a identifica exact ce pot și ce nu pot face aceste rețele când vine vorba de înghețarea activelor digitale. Desigur, descoperirile ridică întrebări incomode despre natura reală a descentralizării și, mai ales, despre transparența cu care operează aceste rețele.
Raportul complet documentează trei metode principale prin care blockchain-urile pot bloca fonduri. Prima metodă implică liste negre integrate direct în cod, a doua se bazează pe fișiere de configurare care folosesc liste private, iar a treia folosește contracte inteligente implementate pe blockchain. Fiecare are propriile particularități și, să fim sinceri, propriile riscuri.
Să luăm prima categorie, cea cu mecanisme integrate direct în arhitectura rețelei. Aici găsim BNB Chain al Binance, dar și platforme precum Chiliz, Viction, XDC Network și VeChain. Aceste sisteme permit blocarea imediată a anumitor adrese fără a fi nevoie de modificări suplimentare. E ca și cum ai avea un buton roșu gata să fie apăsat oricând.
A doua categorie, bazată pe fișiere de configurare, e folosită de o grămadă de proiecte cunoscute: Harmony ONE, HAVAH, Apts, Supra, EOS Network, Oasis Network, WAX, Sui, Linea și Waves. Această metodă se bazează pe liste negre stocate în fișiere locale și gestionate de validatori, fundațiile din spatele proiectelor și dezvoltatorii principali. E un pic mai subtilă decât prima variantă, dar rezultatul final e același.
Interesant e că singura rețea care folosește contracte inteligente pentru astfel de blocări este HEC Chain, cunoscut anterior ca Huobi Eco Chain. Pare o abordare mai transparentă, teoretic cel puțin, pentru că totul se întâmplă on-chain și poate fi urmărit.
Aceste mecanisme nu sunt doar teorii sau scenarii ipotetice. Au fost folosite în practică, și nu de puține ori. BNB Chain și VeChain și-au folosit efectiv capacitățile de blocare pentru a răspunde la atacuri. BNB Chain a intervenit în urma unui exploit al unui bridge care a afectat fonduri de 570 de milioane de dolari. E o sumă uriașă, nu poți să nu reacționezi. VeChain a acționat după o breșă de securitate de 6,6 milioane de dolari, care deși e mai mică, tot reprezintă bani serioși. Sui a reușit să îngheațe 162 de milioane de dolari în active furate după atacul asupra protocolului Cetus.
Deci da, sistemele astea funcționează și au salvat sute de milioane de dolari. Întrebarea e dacă prețul plătit pentru această securitate nu e prea mare când vine vorba de principiile fundamentale ale tehnologiei blockchain.
Descoperirile nu se opresc aici. Raportul identifică încă 19 blockchain-uri care ar putea implementa astfel de sisteme prin modificări relativ minore ale protocoalelor lor. Vorbim de nume mari, foarte cunoscute în industrie.
Arbitrum, Cosmos, MANTRA, Terra, Axelar, Babylon, Celestia, dYdX, Dymension, Evmos, Initia, Kava, Nillion, OKExChain, THORChain, Sei, Secret Network și XION. Toate astea ar putea, dacă vor, să adauge funcții de înghețare fără să răstoarne întregul sistem.
Laboratorul de securitate al Bybit atrage atenția asupra unui aspect care mi se pare destul de problematic: lipsa de transparență. Fundațiile care gestionează aceste blockchain-uri și companiile din spatele lor nu comunică în mod deschis despre aceste capacități. Și aici e o problemă reală, pentru că multe persoane investesc în aceste proiecte exact pentru că promit descentralizare completă și libertate financiară fără interferențe externe.
Concluziile raportului sunt clare și, trebuie să recunosc, destul de echilibrate. Prezența acestor mecanisme contrazice principiile fundamentale ale unui ecosistem descentralizat și necesită o discuție serioasă în comunitatea blockchain. Dar, în același timp, cercetătorii recunosc că aceste sisteme au prevenit în practică furtul de fonduri de către hackeri. E un compromis dificil între idealuri și pragmatism.
Raportul susține necesitatea unei deschideri mai mari în ceea ce privește aceste capabilități de înghețare și mecanismele de intervenție în situații de urgență. Astfel de informații ar trebui să facă parte din guvernanța transparentă a blockchain-urilor și să fie comunicate public în mod regulat. Nu e prea mult de cerut, la urma urmei.
Armin Reiter de la A31 Labs aduce o nuanță importantă în acest context, care merită discutată.
El subliniază că orice blockchain poate implementa tehnic capacități de blocare. Nu e o chestiune de posibilitate tehnică, ci de voință și consens. Diferența esențială constă în gradul de descentralizare al sistemului și dacă validatorii sau minerii acceptă sau nu astfel de modificări.
Reiter argumentează că blocări de acest tip nu vor fi implementate pe Bitcoin datorită consensului puternic din comunitate împotriva unor astfel de măsuri. Bitcoin rămâne cumva bastionul descentralizării pure, unde ideologia originală a lui Satoshi Nakamoto e încă respectată cu sfințenie. Concluziile sale sugerează că aspectul cu adevărat relevant nu e dacă un blockchain poate implementa astfel de mecanisme, ci dacă a acceptat deja aceste compromisuri între securitate și descentralizare pură.
Situația devine și mai interesantă când ne uităm la cazuri în care aceste mecanisme au eșuat.
Compania de securitate GoPlus Security a semnalat că atacatorul platformei de finanțe descentralizate Balancer a reușit să ocolească blocarea implementată pe rețeaua Sonic. A mutat aproximativ 3 milioane de dolari în criptomonede de la o adresă înghețată către una nouă, parcă nimic nu s-ar fi întâmplat.
Firma de securitate a explicat că hackerul a reușit această manevră pentru că blocarea afecta doar token-ul nativ al rețelei, nu și celelalte token-uri ERC20. E o gaură semnificativă în sistem, care demonstrează că implementarea tehnică a unor astfel de măsuri poate avea lacune serioase. Un atacator abil poate găsi întotdeauna o cale de ocolire dacă protecția nu e completă.
Raportul Bybit vine într-un moment în care industria blockchain se confruntă cu tensiuni crescânde între idealurile de descentralizare completă și necesitățile practice de securitate. Pe de o parte, există presiunea de a proteja utilizatorii împotriva furturilor și exploatărilor. Cine vrea să își piardă economiile? Pe de altă parte stă promisiunea fundamentală a tehnologiei blockchain de a elimina punctele centrale de control. E un echilibru greu de găsit.
Și aici ajungem la întrebarea care ar trebui să ne preocupe pe toți: ce înseamnă de fapt descentralizare? E un concept absolut sau acceptăm nuanțe șigrade diferite? Poate că trebuie să recunoaștem că nu toate blockchain-urile sunt create egale și că unele sacrifică o parte din descentralizare în favoarea securității și a protecției utilizatorilor.
Aceste descoperiri sunt relevante nu doar pentru dezvoltatorii de tehnologie, ci și pentru utilizatorii obișnuiți care investesc în criptomonede și folosesc diverse blockchain-uri.
Înțelegerea că fondurile pot fi blocate în anumite circumstanțe schimbă fundamental percepția asupra garanțiilor pe care le oferă aceste sisteme. Nu mai vorbim despre un vault impenetrabil și incontrolabil, ci despre un seif care are, totuși, o cheie master.
Transparența solicitată de raportul Bybit ar putea deveni un standard în industrie, permițând utilizatorilor să ia decizii informate despre rețelele pe care aleg să le folosească. În final, capacitatea de a îngheța fonduri nu e în sine bună sau rea. E o unealtă, un instrument care poate fi folosit corect sau greșit, pentru protecție sau pentru control excesiv. Trebuie cunoscută și înțeleasă de toți participanții din ecosistem.
Probabil că viitorul va aduce mai multă claritate în aceste aspecte. Companiile care aleg să fie transparente despre capacitățile lor de intervenție vor câștiga încrederea utilizatorilor pe termen lung.
Cele care ascund aceste capabilități riscă să fie descoperite și să își piardă credibilitatea. La urma urmei, tehnologia blockchain s-a născut din dorința de transparență și onestitate. Păcat ar fi să ne îndepărtăm de aceste principii tocmai când ele devin mai importante ca niciodată.
