Autor original: Shenchao TechFlow
La semana pasada, KelpDAO fue pirateada y le robaron casi 300 millones de dólares, convirtiéndose en el mayor incidente de seguridad negativo en DeFi hasta la fecha este año.
Los ETH robados ahora están dispersos en múltiples cadenas, con aproximadamente 30,765 permaneciendo en una dirección en la cadena Arbitrum, con un valor de más de 70 millones de dólares.
Esta historia se creía que ya había terminado, pero hoy salió una secuela.
Según el monitoreo de la institución de seguridad en cadena PeckShield, los fondos en la dirección del hacker en la cadena Arbitrum fueron retirados hace unas horas, pero extrañamente, estos fondos fueron transferidos a una dirección extraña compuesta casi enteramente por ceros: 0x00000...
Todos estaban adivinando: ¿el hacker quemó todo el dinero en una dirección de agujero negro él mismo, o tuvo un acceso de conciencia o fue reclutado?
Ninguno.
Hace unas horas, el foro oficial de Arbitrum publicó un anuncio de acción de emergencia explicando la situación. Los fondos del hacker fueron transferidos por el consejo de seguridad de Arbitrum.
Sin embargo, lo sorprendente es que, sin conocer la clave privada de la dirección del hacker, el consejo de Arbitrum no congeló los fondos del hacker ni tenía permiso para transferirlos, sino que directamente emitió una instrucción de transferencia "en nombre del hacker".
El hacker no estaba al tanto, la clave privada no se filtró, y los registros en la cadena parecen indicar que el hacker realizó las operaciones por sí mismo.
El principio detrás de esta operación es que todos los mensajes transfronterizos entre Arbitrum y Ethereum deben pasar por un contrato puente llamado Inbox. El Consejo de Seguridad utilizó sus poderes de emergencia para actualizar temporalmente este contrato, añadiendo una nueva función:
Enviar una transacción cruzada en nombre de cualquier dirección de billetera, sin necesidad de la clave privada de esa billetera.
Luego, utilizaron esta función para falsificar un mensaje, donde el remitente era la billetera del hacker y el contenido decía: "Transfiere todos mis ETH a la dirección congelada". La cadena Arbitrum recibió el mensaje y lo ejecutó normalmente, lo que dio lugar al extraño escenario mostrado en la captura de pantalla de la transferencia en la cadena.
Después de transferir el dinero del hacker, el contrato se downgrade inmediatamente a la versión original. La actualización, la falsificación, la transferencia y la recuperación se completan todas en una sola transacción de Ethereum. Otros usuarios y aplicaciones no se ven afectados en absoluto.
This operation has no precedent in Arbitrum's history.
Según el anuncio del foro, el Consejo de Seguridad confirmó previamente con las autoridades encargadas de hacer cumplir la ley la identidad del hacker, apuntando al grupo norcoreano Lazarus Group, el grupo de hackers estatales más activo en el ámbito DeFi este año. El Consejo realizó una evaluación técnica para asegurarse de que no afectaría a otros usuarios antes de actuar.
Dado que el hacker actuó primero de manera incorrecta, este movimiento tiene un cierto aire de "no se les puede culpar por no seguir las reglas". Sobre cómo se manejarán los ETH congelados en el futuro, se deberá someter a una votación de gobernanza DAO de Arbitrum, en coordinación con las autoridades encargadas de hacer cumplir la ley.
Recuperar más de 70 millones de fondos robados es, por supuesto, algo positivo. Pero es importante tener en cuenta que, para lograrlo, basta con que 9 de los 12 miembros del Consejo de Seguridad firmen para omitir todas las votaciones de gobernanza y actualizar sin retraso ningún contrato central en la cadena.
Celebrar los resultados, ¿preocuparse por la capacidad?
Actualmente, la reacción de la comunidad sobre este tema está dividida.
Algunas personas consideran que Arbitrum lo hizo bien y protegió los activos en el momento clave, fortaleciendo ligeramente la confianza en las L2. Otras hacen una pregunta directa: si se necesitan solo nueve firmas para mover cualquier activo en nombre de cualquiera, ¿esto aún se llama descentralización?
Creo que ambos no están hablando de lo mismo.
El primero habla del resultado, el segundo de la capacidad. El resultado de este evento es sin duda positivo: se recuperaron más de 70 millones en fondos robados. Sin embargo, la capacidad demostrada por Arbitrum de modificar funciones de contrato mediante firma múltiple es en sí misma neutral; qué se hará con ella en el futuro, si se podrá hacer o cómo se hará, depende realmente de la gobernanza del comité.
Sin embargo, para la mayoría de los usuarios de Arbitrum, esta discusión puede no ser tan práctica como otro hecho: Arbitrum no es especial; casi todos los L2 principales actualmente conservan permisos de actualización de emergencia similares.
La cadena que estás utilizando probablemente también tiene un consejo de seguridad similar con capacidades similares. Esto no es una elección única de Arbitrum; casi todas las L2 tienen este diseño común en esta etapa.
Desde otra perspectiva, este ataque y defensa reveló en realidad un panorama más amplio.
El atacante es el grupo norcoreano Lazarus, responsable de al menos 18 ataques a DeFi este año. Hace tres semanas robó 285 millones de dólares del Drift Protocol mediante un método completamente diferente.
Mientras los hackers estatales continúan intensificando sus métodos de ataque, las L2 están comenzando a utilizar permisos de nivel inferior para contraatacar. La batalla por la seguridad en DeFi está entrando en una nueva fase, pasando de "congelar tras el hecho, emitir mensajes en la cadena y rezar por la intervención de white hats".
En una situación extrema, se creó una llave maestra para abrir la dirección del hacker, y después se fundió la llave. Solo por este hecho, tener la capacidad de responder a los ataques de hackers no está nada mal.
Y si se debe elevar la cuestión a una discusión filosófica sobre que "esto no es nada descentralizado", entonces hay mucho que decir. Las operaciones centralizadas en la industria cripto no son pocas; en este caso, al menos se está abordando un evento negativo y resolviendo un problema, en lugar de crear uno.
Mirando con pragmatismo, KelpDAO fue robada de 292 millones, y se han recuperado solo 70 millones, menos de una cuarta parte del total. El resto de ETH aún está disperso en otras cadenas, y más de 100 millones de dólares en morosos en Aave aún no tienen solución; aún es incierto cuánto podrán recuperar los titulares de rsETH.
Incluso si Arbitrum utilizó poderes divinos, esta batalla claramente aún no ha terminado.