Arbitrum si finge hacker e 'ruba' indietro i soldi persi da KelpDAO

Titolo originale: "Arbitrum finge di essere un hacker, recupera fondi rubati per KelpDAO"

La scorsa settimana, KelpDAO è stato hackerato, perdendo quasi 300 milioni di dollari, segnando il più grande incidente di sicurezza DeFi dell'anno finora.

L'ETH rubato è ora disperso su più catene, con circa 30.765 rimasti in un indirizzo sulla catena di Arbitrum, valutato oltre 70 milioni di dollari.

Proprio quando tutti pensavano che la storia fosse conclusa, oggi si è svolto un nuovo episodio.

Secondo la società di sicurezza on-chain PeckShield, i fondi nell'indirizzo dell'hacker sulla catena di Arbitrum sono stati trasferiti alcune ore fa, ma stranamente, questi fondi sono stati inviati a un indirizzo che sembra essere per lo più zeri, come 0x00000...

A quel tempo, tutti stavano speculando: L'hacker ha bruciato i fondi in un indirizzo di buco nero? O hanno avuto un ripensamento o accettato una tangente?

Né.

Alcune ore fa, è stato pubblicato un avviso di azione di emergenza sul forum ufficiale di Arbitrum che spiegava la situazione. I fondi dell'hacker sono stati trasferiti dal Consiglio di Sicurezza di Arbitrum.

È interessante notare che, senza conoscere la chiave privata dell'indirizzo dell'hacker, il Consiglio di Arbitrum non ha né bloccato i fondi dell'hacker né aveva l'autorità di trasferirli; invece, hanno direttamente emesso un'istruzione di trasferimento "per conto dell'hacker."

L'hacker stesso non era a conoscenza, la chiave privata non era compromessa e i registri on-chain appaiono come se l'hacker avesse condotto l'operazione.

Il principio alla base di questa operazione è che tutti i messaggi cross-chain tra Arbitrum ed Ethereum passano attraverso un contratto ponte chiamato Inbox. Il Consiglio di Sicurezza ha utilizzato poteri di emergenza per aggiornare temporaneamente questo contratto, aggiungendo una nuova funzione:

Per inviare una transazione cross-chain per conto di qualsiasi indirizzo di portafoglio senza richiedere la chiave privata di quel portafoglio.

Hanno quindi utilizzato questa funzione per forgiare un messaggio, con l'indirizzo del mittente che corrispondeva al portafoglio dell'hacker e il contenuto che affermava “Trasferisci tutto il mio ETH all'indirizzo congelato.” Quando la catena di Arbitrum l'ha ricevuto, si è verificata la strana scena catturata nello screenshot del trasferimento on-chain.

Dopo aver trasferito i fondi dell'hacker, il contratto si è autodistrutto immediatamente tornando al suo stato originale. L'aggiornamento, la falsificazione, il trasferimento e il recupero sono stati tutti raggruppati in una sola transazione Ethereum. Altri utenti e applicazioni non sono stati affatto colpiti.

Questa operazione non ha precedenti nella storia di Arbitrum.

Secondo un annuncio del forum, il Consiglio di Sicurezza aveva confermato in anticipo l'identità dell'hacker con le forze dell'ordine, indicando il Gruppo Lazarus della Corea del Nord, l'organizzazione hacker statale più attiva nel settore DeFi quest'anno. Il consiglio ha condotto una valutazione tecnica, assicurandosi che non ci fosse impatto su altri utenti prima di intraprendere azioni.

Poiché l'hacker ha agito per primo in modo malevolo, questa mossa è in qualche modo simile a una situazione di "nessun onore tra ladri". Per quanto riguarda come gestire l'ETH congelato in futuro, passerà attraverso una votazione nel processo di governance del DAO di Arbitrum, in coordinamento con le forze dell'ordine.

Essere in grado di recuperare oltre 70 milioni di dollari in fondi rubati è certamente un risultato positivo. Tuttavia, vale la pena notare la precondizione per raggiungere questo: tra i 12 membri del Consiglio di Sicurezza, 9 firme sono sufficienti per bypassare qualsiasi voto di governance e aggiornare senza problemi qualsiasi contratto principale sulla catena.

Applaudendo il risultato, preoccupazioni riguardo all'autorità?

Attualmente, la risposta della comunità a questo incidente è piuttosto divisa.

Alcuni vedono le azioni di Arbitrum come lodevoli, proteggendo gli asset in un momento critico e persino aumentando la fiducia in L2. Altri pongono una domanda diretta: se 9 firme possono muovere qualsiasi asset a nome di chiunque, questo qualifica ancora come decentralizzazione?

Dalla prospettiva dell'autore, entrambe le parti non stanno effettivamente discutendo la stessa cosa.

Il primo sta parlando del risultato, mentre il secondo sta discutendo dell'autorità. Il risultato di questo incidente è senza dubbio positivo, con oltre 70 milioni di dollari in fondi rubati recuperati. Tuttavia, la capacità dimostrata da Arbitrum questa volta con la funzione del contratto multi-firma è neutra in sé; come sarà utilizzata in futuro, cosa potrà fare e come potrà essere fatto dipende effettivamente dalla governance del comitato.

Tuttavia, per la maggior parte degli utenti di Arbitrum, questa discussione potrebbe non essere così pratica senza un altro fatto. Arbitrum non è unico in questo aspetto, poiché la maggior parte delle soluzioni L2 mainstream attualmente mantiene capacità di aggiornamento di emergenza simili.

La catena che stai utilizzando molto probabilmente ha anche un Consiglio di Sicurezza simile con capacità simili. Questa non è una scelta unica per Arbitrum. In questa fase attuale, la maggior parte delle soluzioni L2 ha questo design comune.

Guardandola da una prospettiva diversa, questo attacco e difesa ha effettivamente rivelato un quadro più ampio.

L'attaccante era il Lazarus Group della Corea del Nord, che è stato attribuito ad almeno 18 attacchi DeFi quest'anno. Solo tre settimane fa, hanno rubato 285 milioni di dollari dal Drift Protocol utilizzando un metodo completamente diverso.

Da un lato, gli hacker a livello statale stanno continuamente aggiornando i loro metodi di attacco, mentre dall'altro lato, L2 sta iniziando a utilizzare permessi sottostanti per rispondere. La battaglia per la sicurezza in DeFi sta passando da "congelamento post-attacco, annunci on-chain, pregare per l'intervento dei whitehat" a una nuova fase.

In una mossa molto straordinaria, è stata creata una chiave universale per sbloccare l'indirizzo dell'hacker, e dopo che il compito è stato completato, la chiave è stata distrutta. Solo basandosi su questo incidente, la capacità di resistere agli attacchi degli hacker non è male.

E se dobbiamo elevare la questione a una discussione filosofica di "questo non è affatto decentralizzato", allora c'è molto di cui discutere. Ci sono numerose operazioni centralizzate nell'industria delle criptovalute, ma questa volta almeno, l'attenzione era sulla gestione dell'evento negativo e sulla risoluzione del problema, piuttosto che causare un evento negativo.

Tornando a una visione più pragmatica, a KelpDAO sono stati rubati 292 milioni di dollari, solo oltre 70 milioni sono stati recuperati, il che è meno di un quarto del totale. L'ETH rimanente è ancora disperso su altre catene, oltre 100 milioni di dollari di debito cattivo su Aave sono ancora irrisolti, e l'importo che i detentori di rsETH recupereranno è ancora sconosciuto.

Anche se Arbitrum ha invocato il suo permesso in modalità Dio, è chiaro che la battaglia è tutt'altro che finita.

Link all'articolo originale