In de cryptowereld zegt men vaak: “Elk geheim creëert een potentieel punt van falen.” Dit betekent simpelweg dat alles wat je verbergt, zoals een wachtwoord, een doelwit wordt voor diefstal, evenals de plaats waar je het verbergt. Om veilig te blijven, moet je nadenken over wat je beschermt en hoe je het beschermt.

Velen van ons kwamen naar blockchain vanwege de eenvoud waarmee dit probleem kon worden opgelost. Na jaren van het bouwen van systemen om gecentraliseerde punten van falen te verminderen, konden we nu proactieve beveiligingsmaatregelen nemen en systemen creëren die voor elke gebruiker werken.

Een belangrijk beveiligingselement van blockchain dat vaak over het hoofd wordt gezien, is hoe het de ’typische’ gebruiker beschermt. Perfecte gebruikers veranderen regelmatig hun wachtwoord en gebruiken een VPN op openbare wifi; typische gebruikers gebruiken vaak hetzelfde wachtwoord voor meerdere accounts. Typische gebruikers zijn niet lui, ze zijn gewoon niet zo bekend met de beste beveiligingspraktijken of hebben er geen tijd voor.

Decentralisatie beschermt de typische gebruiker standaard. Als een dapp op een veilige blockchain is gebouwd, kunnen gebruikers erop vertrouwen dat deze blijft werken zolang de keten blokken publiceert en de slimme contracten geldig zijn. Bij het gebruik van een self-custodial wallet kunnen gebruikers erop vertrouwen dat alleen zij toegang hebben tot hun geld, zolang ze hun sleutel privé houden. Decentralisatie was het kenmerk waar gebruikers op moesten letten bij het kiezen van een crypto- of blockchain-dapp of platform, en dit was makkelijk te controleren.

Maar de beveiliging in onze sector is ernstig achteruitgegaan. We zijn nu behoorlijk gecentraliseerd, en deze centralisatie is vaak verborgen, waardoor zelfs de perfecte gebruiker niet veilig kan blijven. Deze nieuwe centralisatiepunten zijn opzettelijk gecreëerd door bedrijven die eigendom en controle willen hebben. Ze vormen de grootste beveiligingsdreiging voor digitale activa waar niemand over praat.

Tegenwoordig is er een enkel protocol, volledig eigendom van een privébedrijf, dat de spil vormt voor hoe miljoenen wallets en hun blockchains communiceren. Werknemers van layer-2 blockchains kunnen door simpelweg hun sequencers te pauzeren een keten stoppen met het verwerken van blokken. En miljoenen dollars van DAO-schathuis kunnen worden uitgegeven zonder een enkele stem van de gemeenschap.

Deze ontwerpen maken de beruchte terugdraaiing van ‘The DAO’ onbeduidend in vergelijking. Ernstiger nog, deze kwetsbaarheden vertegenwoordigen de soort centralisatie die we met Web3 wilden ontmantelen. En ze worden opzettelijk gebouwd.

Het is het ergste dat de verantwoordelijkheid bij de gebruikers blijft liggen om hun eigen onderzoek te doen. Het argument is dat gebruikers gewoon kunnen stoppen met het gebruik van elke dapp of keten die niet aan hun persoonlijke decentralisatie- en risicodrempel voldoet. Maar dit is niet makkelijk te doen. In een trend van ‘geïnformeerde centralisatie’ wordt deze informatie verborgen in voorwaarden of beperkt als eigendomsinformatie. Hoe dient deze omgeving enige gebruiker, laat staan een ’typische gebruiker’? Dat doet het niet.

Om Web3 vooruit te helpen, moeten we snel best practices adopteren die meer dan alleen onze gebruikers verantwoordelijk houden voor risico’s. Onze verantwoordelijkheid moet openbaar en verifieerbaar zijn door ontwerp. We kunnen beginnen met het open-sourcen van kritieke infrastructuur zodat geen enkel bedrijf of entiteit deze kan controleren, door te streven naar een governance-standaard waarbij activiteiten zoals blokpauzes en schatkistuitgaven onchain worden geregistreerd (zo niet volledig uitgevoerd), en door een traditie van het benoemen van slecht gedrag te herontdekken, waarbij we de daders van centralisatie noemen, niet de slachtoffers.

Tijdens een beveiligingscrisis is het de neiging van alle gebruikers (zelfs de perfecte) om een zondebok te vinden en de schuld op hen af te schuiven. Onze sector is niet anders.

Hoewel onze traditie van persoonlijke verantwoordelijkheid (‘niet jouw sleutels, niet jouw crypto’) bewonderenswaardig is, is het geen eerlijke standaard om al onze gebruikers aan te houden, noch beschermt het ons adequaat. We waren allemaal ooit typische gebruikers – als we willen dat er binnenkort nog een miljard van hen bij ons komt, moeten we actie ondernemen.

John Woods is de CTO van de Algorand Foundation, die het snelgroeiende ecosysteem van Algorand ondersteunt door een best-in-class ontwikkelomgeving te bieden, kritieke infrastructuur te ondersteunen en technische standaarden te stellen, uitgebreide ondersteuning te bieden aan bouwers en ondernemers, en het raamwerk te bieden voor gedecentraliseerd bestuur. Voor hij toetrad tot het leiderschapsteam van Algorand, werkte John als Chief Architect van Cardano bij IOHK. Hij heeft rollen vervuld in software-architectuur en toegepaste cryptografie bij verschillende bedrijven, waaronder Informatica, ConsenSys en de Centrale Bank van Ierland.