Arbitrum se hace pasar por un hacker, 'roba' de nuevo el dinero perdido por KelpDAO

Título original: "Arbitrum finge ser un hacker, recupera fondos robados para KelpDAO"

La semana pasada, KelpDAO fue hackeado, perdiendo casi 300 millones de dólares, marcando el mayor incidente de seguridad DeFi del año hasta ahora.

El ETH robado ahora está disperso a través de múltiples cadenas, con alrededor de 30,765 restantes en una dirección en la cadena de Arbitrum, valorados en más de 70 millones de dólares.

Justo cuando todos pensaban que la historia había concluido, un nuevo episodio se desarrolló hoy.

Según la firma de seguridad en cadena PeckShield, los fondos en la dirección del hacker en la cadena de Arbitrum fueron transferidos hace unas horas, pero extrañamente, estos fondos fueron enviados a una dirección que parece ser mayormente ceros, como 0x00000...

En ese momento, todos estaban especulando: ¿El hacker quemó los fondos en una dirección de agujero negro? ¿O tuvo un cambio de corazón o aceptó un soborno?

Ni lo uno ni lo otro.

Hace unas horas, se publicó un aviso de acción de emergencia en el foro oficial de Arbitrum explicando la situación. Los fondos del hacker fueron transferidos por el Consejo de Seguridad de Arbitrum.

Curiosamente, sin conocer la clave privada de la dirección del hacker, el Consejo de Arbitrum ni congeló los fondos del hacker ni tuvo la autoridad para transferirlos; en su lugar, emitieron directamente una instrucción de transferencia "en nombre del hacker."

El propio hacker no estaba al tanto, la clave privada no fue comprometida, y los registros en cadena parecen como si el hacker hubiera llevado a cabo la operación.

El principio detrás de esta operación es que todos los mensajes entre cadenas entre Arbitrum y Ethereum pasan a través de un contrato puente llamado Inbox. El Consejo de Seguridad utilizó poderes de emergencia para actualizar temporalmente este contrato, añadiendo una nueva función:

Enviar una transacción entre cadenas en nombre de cualquier dirección de cartera sin requerir la clave privada de esa cartera.

Luego utilizaron esta función para forjar un mensaje, con la dirección del remitente siendo la cartera del hacker y el contenido indicando “Transfiere todo mi ETH a la dirección congelada.” Cuando la cadena de Arbitrum lo recibió, ocurrió la extraña escena capturada en la captura de pantalla de la transferencia en la cadena.

Después de transferir los fondos del hacker, el contrato se autodestruyó inmediatamente volviendo a su estado original. La actualización, la falsificación, la transferencia y la recuperación se agruparon en una única transacción de Ethereum. Otros usuarios y aplicaciones no se vieron afectados en absoluto.

Esta operación no tiene precedentes en la historia de Arbitrum.

Según un anuncio en el foro, el Consejo de Seguridad había confirmado la identidad del hacker con las fuerzas del orden de antemano, señalando al Grupo Lazarus de Corea del Norte, la organización de hackers a nivel estatal más activa en el espacio DeFi este año. El consejo realizó una evaluación técnica, asegurando que no hubiera impacto en otros usuarios antes de tomar medidas.

Dado que el hacker actuó maliciosamente primero, este movimiento es algo parecido a una situación de "no hay honor entre ladrones". En cuanto a cómo manejar el ETH congelado en el futuro, pasará por una votación en el proceso de gobernanza del DAO de Arbitrum, en coordinación con las fuerzas del orden.

Poder recuperar más de 70 millones de dólares en fondos robados es, sin duda, un resultado positivo. Sin embargo, vale la pena señalar la condición previa para lograr esto: entre los 12 miembros del Consejo de Seguridad, 9 firmas son suficientes para eludir cualquier votación de gobernanza y actualizar sin problemas cualquier contrato central en la cadena.

Aplaudiendo el resultado, ¿preocupaciones sobre la autoridad?

Actualmente, la respuesta de la comunidad a este incidente está bastante dividida.

Algunos ven las acciones de Arbitrum como encomiables, protegiendo activos en un momento crítico e incluso aumentando la confianza en L2. Otros plantean una pregunta directa: si 9 firmas pueden mover cualquier activo en nombre de cualquiera, ¿esto sigue calificando como descentralización?

Desde la perspectiva del autor, ambos lados no están discutiendo realmente lo mismo.

El primero habla sobre el resultado, mientras que el segundo discute la autoridad. El resultado de este incidente es indudablemente positivo, con más de 70 millones de dólares en fondos robados recuperados. Sin embargo, la capacidad demostrada por Arbitrum esta vez con la función de contrato de firma múltiple es neutral en sí misma; cómo se utilizará en el futuro, qué podrá hacer y cómo se podrá hacer realmente dependen de la gobernanza del comité.

Sin embargo, para la mayoría de los usuarios de Arbitrum, esta discusión puede no ser tan práctica sin otro hecho. Arbitrum no es único en este aspecto, ya que la mayoría de las soluciones L2 convencionales actualmente mantienen capacidades similares de actualización de emergencia.

La cadena que estás utilizando probablemente también tenga un Consejo de Seguridad similar con capacidades similares. Esta no es una elección única para Arbitrum. En esta etapa actual, la mayoría de las soluciones L2 tienen este diseño común.

Viendo esto desde una perspectiva diferente, este ataque y defensa han revelado en realidad una imagen más amplia.

El atacante fue el Grupo Lazarus de Corea del Norte, que se ha atribuido al menos 18 ataques DeFi este año. Hace solo tres semanas, robaron 285 millones de dólares del Drift Protocol utilizando un método completamente diferente.

Por un lado, los hackers a nivel estatal están mejorando continuamente sus métodos de ataque, mientras que por el otro lado, L2 está comenzando a utilizar permisos subyacentes para contraatacar. La batalla de seguridad en DeFi está pasando de "congelación post-ataque, anuncios en cadena, rezar por la intervención de los whitehats" a una nueva etapa.

En un movimiento muy extraordinario, se creó una clave universal para desbloquear la dirección del hacker, y después de completar la tarea, la clave fue destruida. Solo basándonos en este incidente, la capacidad de resistir ataques de hackers no es mala.

Y si debemos elevar el asunto a una discusión filosófica de "esto no es en absoluto descentralizado", entonces hay mucho de qué hablar. Hay numerosas operaciones centralizadas en la industria cripto, pero esta vez al menos, el enfoque estuvo en manejar el evento negativo y resolver el problema, en lugar de causar un evento negativo.

Volviendo a una visión más pragmática, KelpDAO fue robado 292 millones de dólares, solo se han recuperado más de 70 millones de dólares, lo cual es menos de una cuarta parte del total. El ETH restante sigue disperso en otras cadenas, más de 100 millones de dólares en deuda mala en Aave aún no se ha resuelto, y la cantidad que los titulares de rsETH recuperarán sigue siendo desconocida.

A pesar de que Arbitrum invocó su permiso de modo Dios, está claro que la batalla está lejos de haber terminado.

Enlace del Artículo Original