Arbitrum udaje hakera, 'kradnie' z powrotem pieniądze utracone przez KelpDAO

Tytuł oryginalny: "Arbitrum udaje hakera, odzyskuje skradzione fundusze dla KelpDAO"

W zeszłym tygodniu KelpDAO zostało zhakowane, tracąc prawie 300 milionów dolarów, co stanowi największy incydent bezpieczeństwa DeFi w tym roku.

Skradzione ETH jest teraz rozproszone po wielu łańcuchach, z około 30 765 pozostałymi na adresie w łańcuchu Arbitrum, wycenianym na ponad 70 milionów dolarów.

Gdy wszyscy myśleli, że historia dobiegła końca, dzisiaj rozwinął się nowy odcinek.

Według firmy zajmującej się bezpieczeństwem on-chain, PeckShield, fundusze na adresie hakera w łańcuchu Arbitrum zostały przetransferowane kilka godzin temu, ale dziwnie, te fundusze zostały wysłane na adres, który wydaje się być w większości zerowy, jak 0x00000...

W tym czasie wszyscy spekulowali: Czy haker spalił fundusze w adresie czarnej dziury? Czy zmienili zdanie lub przyjęli łapówkę?

Żaden.

Kilka godzin temu na oficjalnym forum Arbitrum opublikowano powiadomienie o działaniu awaryjnym wyjaśniające sytuację. Fundusze hakera zostały przetransferowane przez Radę Bezpieczeństwa Arbitrum.

Ciekawe, że nie znając prywatnego klucza adresu hakera, Rada Arbitrum ani nie zablokowała funduszy hakera, ani nie miała uprawnień do ich transferu; zamiast tego bezpośrednio wydała instrukcję transferu "w imieniu hakera."

Sam haker nie był świadomy, prywatny klucz nie został skompromitowany, a zapisy on-chain wyglądają tak, jakby haker przeprowadził operację.

Zasada stojąca za tą operacją polega na tym, że wszystkie wiadomości między łańcuchami Arbitrum i Ethereum przechodzą przez kontrakt mostu zwany Inbox. Rada Bezpieczeństwa wykorzystała uprawnienia awaryjne do tymczasowego zaktualizowania tego kontraktu, dodając nową funkcję:

Aby wysłać transakcję między łańcuchami w imieniu dowolnego adresu portfela bez potrzeby posiadania prywatnego klucza tego portfela.

Następnie użyli tej funkcji do sfałszowania wiadomości, w której adresem nadawcy był portfel hakera, a treść brzmiała "Przenieś wszystkie moje ETH na zablokowany adres." Gdy łańcuch Arbitrum to otrzymał, miała miejsce dziwna scena uchwycona w zrzucie ekranu transferu na łańcuchu.

Po przeniesieniu funduszy hakera, kontrakt natychmiast sam się zniszczył, wracając do swojego pierwotnego stanu. Aktualizacja, fałszerstwo, transfer i odzyskanie zostały wszystkie zgrupowane w jednej transakcji Ethereum. Inni użytkownicy i aplikacje nie zostali w ogóle dotknięci.

Ta operacja nie ma precedensu w historii Arbitrum.

Zgodnie z ogłoszeniem na forum, Rada Bezpieczeństwa potwierdziła tożsamość hakera z organami ścigania z wyprzedzeniem, wskazując na północnokoreańską grupę Lazarus, najbardziej aktywną państwową organizację hakerską w przestrzeni DeFi w tym roku. Rada przeprowadziła ocenę techniczną, zapewniając brak wpływu na innych użytkowników przed podjęciem działań.

Ponieważ haker działał najpierw w sposób złośliwy, ten ruch jest w pewnym sensie podobny do sytuacji "brak honoru wśród złodziei". Jeśli chodzi o to, jak w przyszłości zająć się zablokowanym ETH, przejdzie to przez głosowanie w procesie zarządzania DAO Arbitrum, w koordynacji z organami ścigania.

Możliwość odzyskania ponad 70 milionów dolarów w skradzionych funduszach jest z pewnością pozytywnym wynikiem. Jednak warto zauważyć warunek wstępny do osiągnięcia tego: wśród 12 członków Rady Bezpieczeństwa wystarczą 3 podpisy, aby obejść jakiekolwiek głosowanie w sprawie zarządzania i płynnie zaktualizować jakikolwiek podstawowy kontrakt na łańcuchu.

Oklaskując wynik, obawy o władzę?

Obecnie reakcja społeczności na ten incydent jest dość podzielona.

Niektórzy postrzegają działania Arbitrum jako godne pochwały, chroniące aktywa w krytycznym momencie i nawet zwiększające zaufanie do L2. Inni stawiają bezpośrednie pytanie: jeśli 3 podpisy mogą przenieść jakiekolwiek aktywa w imieniu kogokolwiek, czy to nadal kwalifikuje się jako decentralizacja?

Z perspektywy autora, obie strony tak naprawdę nie dyskutują o tym samym.

Pierwsza mówi o wyniku, podczas gdy druga dyskutuje o władzy. Wynik tego incydentu jest niewątpliwie pozytywny, z ponad 70 milionami dolarów w skradzionych funduszach odzyskanych. Jednak zdolność wykazana przez Arbitrum tym razem z funkcją kontraktu wielopodpisowego jest neutralna sama w sobie; jak będzie używana w przyszłości, co może zrobić i jak to może być zrobione, w rzeczywistości zależy od zarządzania komitetu.

Jednak dla większości użytkowników Arbitrum ta dyskusja może nie być tak praktyczna bez innego faktu. Arbitrum nie jest w tym aspekcie wyjątkowe, ponieważ większość mainstreamowych rozwiązań L2 obecnie zachowuje podobne możliwości awaryjnego aktualizowania.

Łańcuch, którego używasz, najprawdopodobniej również ma podobną Radę Bezpieczeństwa z podobnymi możliwościami. To nie jest wyjątkowy wybór dla Arbitrum. Na obecnym etapie większość rozwiązań L2 ma ten wspólny projekt.

Patrząc na to z innej perspektywy, ten atak i obrona ujawniły w rzeczywistości szerszy obraz.

Napastnikiem była Grupa Lazarus z Korei Północnej, która została przypisana do co najmniej 18 ataków DeFi w tym roku. Zaledwie trzy tygodnie temu skradli 285 milionów dolarów z Drift Protocol, używając zupełnie innej metody.

Z jednej strony, hakerzy na poziomie państwowym nieustannie ulepszają swoje metody ataku, podczas gdy z drugiej strony, L2 zaczyna wykorzystywać podstawowe uprawnienia do obrony. Bitwa o bezpieczeństwo w DeFi przechodzi z etapu "zamrażania po ataku, ogłoszeń on-chain, modlenia się o interwencję białego kapelusza" do nowego etapu.

W bardzo niezwykłym posunięciu stworzono uniwersalny klucz do odblokowania adresu hakera, a po zakończeniu zadania klucz został zniszczony. Sama na podstawie tego incydentu zdolność do wytrzymywania ataków hakerskich nie jest zła.

A jeśli musimy podnieść sprawę do filozoficznej dyskusji o "to wcale nie jest zdecentralizowane", to jest wiele do omówienia. W branży kryptograficznej istnieje wiele zcentralizowanych operacji, ale tym razem przynajmniej skupiono się na radzeniu sobie z negatywnym wydarzeniem i rozwiązaniu problemu, a nie na powodowaniu negatywnego wydarzenia.

Wracając do bardziej pragmatycznego spojrzenia, KelpDAO skradziono 292 miliony dolarów, tylko ponad 70 milionów zostało odzyskanych, co stanowi mniej niż ćwierć całości. Pozostały ETH wciąż jest rozproszony po innych łańcuchach, ponad 100 milionów dolarów złych długów na Aave wciąż pozostaje nierozwiązanych, a kwota, którą posiadacze rsETH odzyskają, wciąż jest nieznana.

Mimo że Arbitrum wywołało swoje uprawnienia w trybie Boga, jasne jest, że bitwa jest daleka od zakończenia.

Link do oryginalnego artykułu