Auteur original : Shenchao TechFlow
La semaine dernière, KelpDAO a été piraté, avec près de 300 millions de dollars volés, devenant le plus grand incident de sécurité négatif dans le domaine DeFi cette année.
Les ETH volés sont désormais dispersés sur plusieurs chaînes, dont environ 30 765 restent sur une adresse Arbitrum, pour une valeur de plus de 70 millions de dollars américains.
On pensait que cette histoire était terminée, mais une suite est sortie aujourd'hui.
Selon la surveillance de l'agence de sécurité chainée PeckShield, les fonds de l'adresse pirate sur la chaîne Arbitrum ont été transférés il y a quelques heures, mais il est étrange que ces fonds aient été envoyés à une adresse étrange composée presque entièrement de zéros : 0x00000...
Tout le monde se demandait si le pirate avait lui-même brûlé l'argent en le transférant vers une adresse noire, ou s'il avait soudainement eu un accès de conscience ou été recruté.
None of them.
Il y a quelques heures, le forum officiel d'Arbitrum a publié une annonce d'action urgente expliquant la situation. Les fonds du pirate ont été transférés par le conseil de sécurité d'Arbitrum.
Cependant, il est étonnant que, sans connaître la clé privée de l'adresse du pirate, le conseil d'Arbitrum n'ait ni gelé les fonds du pirate ni eu la possibilité d'effectuer un virement, mais ait directement émis une instruction de virement au nom du pirate.
Le pirate n'était pas au courant, la clé privée n'a pas été compromise, et les enregistrements sur la chaîne semblent indiquer que le pirate a effectué les opérations lui-même.
Le mécanisme permettant cette opération repose sur le fait que tous les messages cross-chain entre Arbitrum et Ethereum passent par un contrat pont appelé Inbox. Le conseil de sécurité a utilisé ses pouvoirs d'urgence pour mettre à jour temporairement ce contrat en ajoutant une nouvelle fonction :
Envoyer une transaction cross-chain au nom de n'importe quelle adresse de portefeuille, sans nécessiter la clé privée de ce portefeuille.
Ensuite, ils ont utilisé cette fonction pour falsifier un message, où l'expéditeur était écrit comme le portefeuille du pirate, avec le contenu : « Transférez tous mes ETH vers l'adresse gelée ». La chaîne Arbitrum a reçu le message et l'a exécuté normalement, ce qui a donné le curieux scénario visible sur la capture d'écran de la transaction sur la chaîne.
Une fois l'argent du pirate transféré, le contrat est immédiatement rétrogradé à sa version d'origine. La mise à niveau, la falsification, le transfert et la restauration sont tous regroupés en une seule transaction Ethereum. Les autres utilisateurs et applications ne sont en aucun cas affectés.
Cette opération n'a jamais eu lieu dans l'histoire d'Arbitrum.
Selon l'annonce du forum, le conseil de sécurité a confirmé au préalable l'identité du pirate avec les autorités compétentes, en ciblant le groupe Lazarus de la Corée du Nord, le groupe de pirates étatiques le plus actif dans le domaine DeFi cette année. Le conseil a effectué une évaluation technique pour s'assurer qu'aucun autre utilisateur n'était affecté avant d'agir.
Puisque le pirate a agi en premier, cette méthode ressemble un peu à « ne pas reprocher à personne de ne pas respecter les règles ». Quant au traitement ultérieur des ETH gelés, il faudra passer par un vote de gouvernance DAO d’Arbitrum en coordination avec les autorités compétentes.
Récupérer plus de 70 millions de dollars volés est bien sûr une bonne chose. Mais il est important de noter que pour y parvenir, neuf des douze membres du Conseil de sécurité peuvent signer pour contourner tous les votes de gouvernance et mettre à jour sans délai aucun contrat central sur la chaîne.
Praise the results, worry about the capabilities?
Actuellement, la réaction de la communauté à ce sujet est divisée.
Certains pensent qu'Arbitrum a bien réagi, protégeant les actifs au moment crucial et renforçant légèrement la confiance dans les L2. D'autres posent une question directe : si neuf personnes peuvent déplacer n'importe quel actif au nom de n'importe qui, est-ce encore de la décentralisation ?
Je pense que les deux côtés ne parlent pas de la même chose.
Le premier mentionne le résultat, le second mentionne la capacité. Le résultat de cet événement est certainement positif : plus de 70 millions de fonds volés ont été récupérés. Toutefois, la capacité d'Arbitrum à modifier les fonctions du contrat via une signature multiple est en soi neutre ; savoir ce qu'on en fera à l'avenir, si on en aura le droit et comment on l'utilisera dépend en réalité de la gouvernance du comité.
Cependant, pour la plupart des utilisateurs d'Arbitrum, cette discussion pourrait sembler moins pratique qu'un autre fait : Arbitrum n'est pas particulier ; presque toutes les principales L2 conservent actuellement des pouvoirs de mise à jour d'urgence similaires.
La chaîne que vous utilisez a probablement également un conseil de sécurité similaire avec des capacités analogues. Ce n'est donc pas un choix unique d'Arbitrum ; presque toutes les L2 adoptent actuellement cette conception générale.
Du point de vue opposé, cet assaut et cette défense révèlent en réalité un schéma plus vaste.
L'attaquant est le groupe Lazarus, originaire de Corée du Nord, responsable depuis le début de l'année d'au moins 18 attaques DeFi. Il a volé 285 millions de dollars au protocole Drift il y a trois semaines, en utilisant une méthode complètement différente.
D’un côté, des hackers nationaux intensifient constamment leurs méthodes d’attaque ; de l’autre, les L2 commencent à utiliser des permissions de bas niveau pour riposter. La bataille de sécurité dans le DeFi entre dans une nouvelle phase, passant de « geler après coup, publier des messages sur la chaîne, prier pour l’intervention de white hats » à autre chose.
Durant une période critique, une clé universelle a été fabriquée pour accéder à l'adresse du pirate, puis la clé a été fondue après utilisation. Du point de vue de cet unique événement, être capable de répondre aux attaques de pirates n'est pas si mal.
Mais si l'on doit absolument élever la discussion à un débat philosophique sur le fait que « ce n'est pas du tout décentralisé », il y a beaucoup de choses à dire. Les opérations centralisées dans l'industrie cryptographique sont nombreuses ; cette fois-ci, au moins, il s'agit de gérer un événement négatif et de résoudre un problème, et non d'en créer un.
En revenant à une perspective plus pragmatique, KelpDAO a été volé à hauteur de 292 millions, dont seulement 70 millions ont été récupérés, soit moins du quart du total. Les ETH restants sont encore dispersés sur d'autres chaînes, et plus de 100 millions de dollars de créances douteuses sur Aave n'ont toujours pas été résolues ; il reste inconnu combien les détenteurs de rsETH pourront récupérer.
Même si Arbitrum a utilisé des pouvoirs divins, ce combat est clairement loin d'être terminé.