الصفحة الرئيسية
الأخبار
التفاصيل

يعيد Arbitrum 70 مليون دولار من الأموال المسروقة باستخدام بروتوكول الطوارئ

iconOdaily
مشاركة
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$2,360.26‮‭2.35‎‎‬%‬
AI summary iconملخص

expand icon
استخدمت Arbitrum بروتوكول الطوارئ الخاص بها لاسترداد 70 مليون دولار في ETH سُرقت من KelpDAO، وذلك بما يتماشى مع تدابير CFT لمنع تدفقات الأموال غير المشروعة. قام مجلس الأمن بترقية مؤقتة لعقد جسر لتجميد الأموال في معاملة واحدة على شبكة Ethereum. وقد أثار هذا الإجراء، الذي يتطلب موافقة تسعة من أعضاء المجلس الاثني عشر، مخاوف بشأن المركزية. ستُدار الأموال عبر حوكمة DAO وستُشارك مع سلطات إنفاذ القانون. مع اقتراب MiCA، قد تخضع مثل هذه التدخلات على السلسلة لمراجعة تنظيمية أكثر صرامة.

الكاتب الأصلي: شينتشاو TechFlow

في الأسبوع الماضي، سُرقت من KelpDAO ما يقرب من 300 مليون دولار أمريكي، ليصبح أكبر حادث أمني سلبي في DeFi هذا العام.

تم توزيع ETH المسروق على عدة سلاسل، حيث لا يزال حوالي 30765 وحدة في عنوان واحد على شبكة Arbitrum، بقيمة تزيد عن 70 مليون دولار أمريكي.

كانت هذه القصة تُعتقد أنّها انتهت، لكنها ظهرت اليوم كتابع.

وفقًا لمراقبة مؤسسة الأمان السلاسلية PeckShield، تم نقل الأموال من عنوان القراصنة على سلسلة Arbitrum قبل بضع ساعات، لكن من الغريب أن هذه الأموال تم تحويلها إلى عنوان غريب يحتوي تقريبًا على أصفار فقط: 0x00000...

صورة

كان الجميع يتخمن وقتها: هل سرق القراصنة المال وحرقوه في عناوين سوداء؟ أم أنهم شعروا بالذنب أو تم تجنيدتهم؟

لا شيء من ذلك.

قبل بضع ساعات، نشر منتدى Arbitrum الرسمي إعلانًا عاجلًا يفسر الوضع. تم نقل أموال القراصنة من قبل مجلس أمان Arbitrum.

لكن المثير للدهشة أنه دون معرفة المفتاح الخاص لعنوان القراصنة، لم يقم مجلس Arbitrum بتجميد أموال القراصنة أو بتحويلها، بل أرسل مباشرة أمر تحويل "بالنيابة عن القراصنة".

المخترق نفسه غير مدرك، ولم تُسرق المفتاح الخاص، وسجلات السلسلة تبدو وكأنها تم تنفيذها من قبل المخترق نفسه.

صورة

والمبدأ الذي يُنفَّذ به هذا الإجراء هو أن جميع رسائل البلوكشين العابرة بين Arbitrum و Ethereum تمر عبر عقد جسر يُسمى Inbox. وقد استخدم مجلس الأمن الصلاحيات الطارئة لترقية هذا العقد مؤقتًا، وأضاف دالة جديدة:

إرسال معاملة عبر سلاسل باسم أي عنوان محفظة، دون الحاجة إلى المفتاح الخاص لتلك المحفظة.

ثم استخدموا هذه الدالة لتزوير رسالة، حيث كان المرسل هو محفظة القراصنة، والمحتوى كان: "حوّل كل ETH الخاص بي إلى العنوان المجمد". وبمجرد استلام سلسلة Arbitrum للرسالة، نفّذتها كالمعتاد، مما أدى إلى المشهد الغريب الموضح في لقطة الشاشة للتحويل على السلسلة.

بعد تحويل أموال القراصنة، يعود العقد فورًا إلى إصداره الأصلي. يتم تنفيذ الترقية والتزوير والتحويل والاستعادة جميعها في معاملة إيثريوم واحدة. لا يتأثر المستخدمون أو التطبيقات الأخرى على الإطلاق.

هذه العملية لا مثيل لها في تاريخ Arbitrum.

وفقًا لإشعار المنتدى، تأكد مجلس الأمن مسبقًا مع السلطات التنفيذية من هوية القراصنة، والتي تشير إلى مجموعة Lazarus الكورية الشمالية، وهي أكثر منظمة قرصنة وطنية نشاطًا في مجال DeFi هذا العام. قام المجلس بتقييم تقني للتأكد من عدم تأثير العملية على المستخدمين الآخرين قبل اتخاذ الإجراء.

بما أن الهاكر قام أولاً بفعل غير صحيح، فإن هذه الخطوة تشبه قول "لا تلوموا الجميع على عدم الالتزام بالأخلاق". أما بالنسبة لمعالجة ETH المجمدة في المستقبل، فسيتم اتخاذ القرار من خلال التصويت في حوكمة DAO الخاصة بـ Arbitrum، بالتنسيق مع السلطات التنفيذية.

استرداد أكثر من 70 مليون دولار مسروقة أمر جيد بالطبع. لكن الشرط الأساسي لتحقيق ذلك يستحق الانتباه: يمكن لـ 9 من أعضاء مجلس الأمن الـ12 التوقيع على ترقية فورية لأي عقد أساسي على السلسلة، دون أي تأخير وتجاوزًا لجميع عمليات التصويت الحوكمة.

الإشادة بالنتائج، القلق من القدرة؟

حاليًا، ردود فعل المجتمع على هذا الأمر متشظية.

يعتقد بعض الأشخاص أن Arbitrum أدى مهامه بشكل ممتاز وحمى الأصول في اللحظة الحاسمة، مما زاد من ثقتهم في L2. في المقابل، يطرح آخرون سؤالًا مباشرًا جدًا: إذا كان التوقيع من قبل 9 أشخاص كافيًا للاستيلاء على أي أصول باسم أي شخص، فهل ما زال هذا يُسمى لامركزية؟

أعتقد أن الطرفين لا يتحدثان عن نفس الشيء.

الأول يتحدث عن النتيجة، والثاني يتحدث عن القدرة. النتيجة من هذا الأمر هي بالتأكيد إيجابية، حيث تم استرداد أكثر من 70 مليون دولار من الأموال المسروقة. لكن القدرة التي أظهرها Arbitrum هذه المرة، وهي تغيير وظيفة العقد عبر التوقيع المتعدد، هي في حد ذاتها محايدة؛ ما إذا كانت ستُستخدم في المستقبل لأغراض أخرى، وما إذا كان يُسمح باستخدامها، وكيفية استخدامها، يعتمد فعليًا على حوكمة اللجنة.

ومع ذلك، بالنسبة لمعظم مستخدمي Arbitrum، قد لا يكون هذا النقاش عمليًا مثل حقيقة أخرى. Arbitrum ليس استثنائيًا، فجميع L2 الرائجة حاليًا تحتفظ تقريبًا بصلاحيات ترقية طارئة مشابهة.

السلسلة التي تستخدمها على الأرجح لديها مجلس أمن مشابه يمتلك قدرات مماثلة. هذا ليس خيارًا فريدًا لـ Arbitrum، فجميع طبقات L2 تقريبًا لديها هذا التصميم العام في هذه المرحلة.

من منظور آخر، فإن هذا الهجوم والدفاع كشف عن صورة أكبر.

المهاجمون هم مجموعة Lazarus الكورية الشمالية، والتي تم نسبتها إلى ما لا يقل عن 18 هجومًا على DeFi هذا العام. قبل ثلاثة أسابيع، سرقت 285 مليون دولار من Drift Protocol باستخدام أسلوب مختلف تمامًا.

من ناحية، يواصل المخترقون الوطنيون تطوير أساليب هجماتهم، ومن ناحية أخرى، بدأت طبقات L2 في استخدام صلاحيات المستوى الأساسي للرد. إن حرب أمان DeFi تدخل مرحلة جديدة تتجاوز "التجميد بعد الحدث، والنداء على السلسلة، والدعاء لتدخل القراصنة البيض".

في وقت استثنائي، صُنعت مفتاحٌ شامل لفتح عنوان القراصنة، وبعد الانتهاء، تم إذابة المفتاح. من حيث هذا الأمر وحده، فإن القدرة على مواجهة هجمات القراصنة لا تُعد سيئة.

وإذا كان لا بد من رفع الأمر إلى مناقشة فلسفية تقول "هذا ليس لامركزيًا على الإطلاق"، فهناك الكثير من الأمور التي يمكن قولها. فهناك العديد من العمليات المركزية في صناعة التشفير، وفي هذه الحالة على الأقل، يتم التعامل مع الحدث السلبي وحل المشكلة، وليس خلق حدث سلبي.

بالعودة إلى الواقع، تم سرقة 292 مليون من KelpDAO، وتم استرداد أكثر من 70 مليون، وهو ما يقل عن ربع المبلغ الإجمالي. لا تزال الـ ETH المتبقية موزعة على سلاسل أخرى، ولا يزال هناك أكثر من 100 مليون دولار من الديون المتعثرة على Aave دون حل، ولا يزال غير معروف كم سيستعيد حاملو rsETH.

حتى مع استخدام Arbitrum لصلاحيات الإله، فإن هذه المعركة لم تنتهِ بعد.

المصدر:عرض النسخة الأصلية
إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة قد حصلت عليها من أطراف ثالثة ولا تعكس بالضرورة وجهات نظر أو آراء KuCoin. يُقدّم هذا المحتوى لأغراض إعلامية عامة فقط ، دون أي تمثيل أو ضمان من أي نوع ، ولا يجوز تفسيره على أنه مشورة مالية أو استثمارية. لن تكون KuCoin مسؤولة عن أي أخطاء أو سهو ، أو عن أي نتائج ناتجة عن استخدام هذه المعلومات. يمكن أن تكون الاستثمارات في الأصول الرقمية محفوفة بالمخاطر. يرجى تقييم مخاطر المنتج بعناية وتحملك للمخاطر بناء على ظروفك المالية الخاصة. لمزيد من المعلومات، يرجى الرجوع إلى شروط الاستخدام واخلاء المسؤولية.