मूल लेखक: शेनचाओ टेकफ्लो
पिछले हफ्ते, KelpDAO को हैक करके लगभग 3 बिलियन डॉलर चुरा लिए गए, जो इस साल तक की DeFi की सबसे बड़ी नकारात्मक सुरक्षा घटना बन गई।
चोरी हुई ETH अब कई चेन पर बिखर गई है, जिसमें लगभग 30,765 Arbitrum चेन पर एक पते पर रह गए हैं, जिनका मूल्य 7000 डॉलर से अधिक है।
इस कहानी को लगा जा रहा था कि यह समाप्त हो चुकी है, आज फिर इसका जारी हिस्सा सामने आया।
लॉन-सिक्योरिटी एजेंसी PeckShield के अनुसार, Arbitrum चेन पर हैकर के पते से कुछ घंटे पहले पैसा निकाल लिया गया है, लेकिन अजीब बात यह है कि यह पैसा एक अजीब पते 0x00000... में स्थानांतरित कर दिया गया है, जो लगभग सभी शून्य है।
लोग तब यही अनुमान लगा रहे थे कि हैकर ने अपना पूरा पैसा ब्लैक होल एड्रेस में डालकर जला दिया, या फिर उसे अपनी जिम्मेदारी का एहसास हुआ या उसे बर्खास्त कर दिया गया?
None of them.
कुछ घंटे पहले, Arbitrum के आधिकारिक फोरम पर एक आपातकालीन कार्रवाई की घोषणा जारी की गई, जिसमें स्थिति की व्याख्या की गई। हैकर की धनराशि, Arbitrum के सुरक्षा परिषद द्वारा हटा दी गई।
लेकिन आश्चर्यजनक बात यह है कि, हैकर के पते की निजी कुंजी के बिना, Arbitrum परिषद ने हैकर की धनराशि को जमा नहीं किया और न ही ट्रांसफर करने का अधिकार रखा, बल्कि सीधे "हैकर के नाम पर" एक ट्रांसफर आदेश जारी किया।
हैकर को खुद का पता नहीं था, प्राइवेट की लीक नहीं हुई थी, और ब्लॉकचेन पर रिकॉर्ड ऐसे दिख रहे हैं जैसे हैकर ने खुद ही कार्रवाई की हो।
इस कार्रवाई का सिद्धांत यह है कि Arbitrum और Ethereum के बीच सभी क्रॉस-चेन संदेश एक Inbox नामक ब्रिज कॉन्ट्रैक्ट से होकर गुजरते हैं। सुरक्षा परिषद ने आपातकालीन अधिकारों का उपयोग करके इस कॉन्ट्रैक्ट को अस्थायी रूप से अपग्रेड किया और एक नया फ़ंक्शन जोड़ा:
किसी भी वॉलेट पते के नाम पर क्रॉस-चेन लेनदेन भेजें, लेकिन उस वॉलेट की प्राइवेट की की आवश्यकता नहीं होती।
फिर उन्होंने इस फ़ंक्शन का उपयोग करके एक संदेश बनाया, जिसमें भेजने वाले के रूप में हैकर की वॉलेट लिखी गई थी, और सामग्री थी: "मेरी सभी ETH को जमा किए गए पते पर स्थानांतरित करें।" Arbitrum श्रृंखला ने इसे सामान्य रूप से निष्पादित किया, जिससे ऊपर की श्रृंखला पर ट्रांसफर स्क्रीनशॉट में अजीब घटना हुई।
हैकर के पैसे स्थानांतरित होने के बाद, यह कॉन्ट्रैक्ट तुरंत मूल संस्करण में डाउनग्रेड हो जाता है। अपग्रेड, झूठा बनाना, ट्रांसफर और रिस्टोर, सभी एक ही ईथरियम ट्रांजैक्शन में पैक किए जाते हैं। अन्य उपयोगकर्ता और एप्लिकेशन पूरी तरह से अप्रभावित रहते हैं।
यह ऑपरेशन Arbitrum के इतिहास में अभी तक नहीं हुआ है।
फोरम अधिसूचना के अनुसार, सुरक्षा परिषद ने पहले से ही लॉरेसस समूह, जो उत्तर कोरिया से संबंधित है और इस वर्ष DeFi क्षेत्र का सबसे सक्रिय राष्ट्रीय हैकर समूह है, की पहचान की पुष्टि लागू करने वाली एजेंसियों के साथ कर ली थी। परिषद ने तकनीकी मूल्यांकन किया और सुनिश्चित किया कि अन्य उपयोगकर्ताओं को कोई प्रभाव नहीं पड़ेगा, तभी कार्रवाई की गई।
चूंकि हैकर ने पहले गलत काम किया था, इसलिए यह उपाय थोड़ा "सबको नैतिकता का दावा न करने का" मतलब रखता है। जमा किए गए ETH के भविष्य के निपटान के लिए, Arbitrum के DAO गवर्नेंस वोट और कानून प्रवर्तन एजेंसियों के साथ समन्वय की आवश्यकता होगी।
追回 7000 多万美元被盗资金当然是好事,但值得注意的是,只要安全理事会 12 个成员中有 9 人签字,就可以绕过所有治理投票,零延迟升级链上任何核心合约。
प्रशंसा परिणाम, चिंता क्षमता?
Currently, the community's reaction to this matter is divided.
कुछ लोगों का मानना है कि Arbitrum ने अच्छा काम किया और समय रहते संपत्ति की रक्षा की, जिससे L2 पर विश्वास थोड़ा बढ़ गया। दूसरे लोग एक सीधा सवाल पूछ रहे हैं: अगर 9 लोगों के हस्ताक्षर से किसी भी व्यक्ति के नाम पर कोई भी संपत्ति चलाई जा सकती है, तो यह वास्तव में डिसेंट्रलाइज्ड कहलाता है?
मुझे लगता है कि दोनों ओर एक ही बात नहीं कह रहे हैं।
पहला परिणाम की बात कर रहा है, दूसरा क्षमता की। इस घटना का परिणाम निश्चित रूप से अच्छा है, 70 मिलियन से अधिक चोरी हुए धन को वापस पाया गया। लेकिन Arbitrum द्वारा इस बार दिखाई गई मल्टी-सिग संपादन स्मार्ट कॉन्ट्रैक्ट फ़ंक्शन की क्षमता स्वयं उदासीन है; इसे हैकर्स के पैसे वापस पाने के लिए इस्तेमाल किया गया, लेकिन भविष्य में इसका उपयोग क्या किया जाएगा, क्या किया जा सकता है, और कैसे किया जाएगा, वास्तव में समिति के शासन पर निर्भर करता है।
हालांकि, आर्बिट्रम का उपयोग करने वाले अधिकांश लोगों के लिए, यह चर्चा एक अन्य तथ्य की तुलना में अधिक व्यावहारिक नहीं है। आर्बिट्रम विशिष्ट नहीं है; वर्तमान में प्रमुख L2 करीब सभी में समान आपातकालीन अपग्रेड अधिकार शामिल हैं।
आप जिस चेन का उपयोग कर रहे हैं, उसके पास भी संभवतः एक समान सुरक्षा परिषद है, जिसकी समान क्षमताएँ हैं। यह Arbitrum का अद्वितीय विकल्प नहीं है, L2 इस चरण में लगभग सभी में इस सामान्य डिज़ाइन को अपनाते हैं।
एक अलग दृष्टिकोण से, यह हमला और रक्षा एक बड़ी छवि को उजागर करता है।
आक्रमणकारी उत्तर कोरिया का Lazarus Group है, जिसे इस साल कम से कम 18 DeFi हमलों के लिए जिम्मेदार ठहराया गया है। तीन सप्ताह पहले, उन्होंने Drift Protocol से 285 मिलियन डॉलर अलग तरीके से चुरा लिए।
एक ओर राष्ट्रीय स्तर के हैकर लगातार हमलों को बढ़ा रहे हैं, दूसरी ओर L2 नीचले स्तर के अधिकारों का उपयोग करके प्रतिक्रिया शुरू कर रहे हैं। DeFi की सुरक्षा युद्ध "बाद में जमानत, चेन पर संदेश, और सफेद हैट के हस्तक्षेप की प्रार्थना" से एक नए चरण में प्रवेश कर रही है।
एक विशेष परिस्थिति में, एक सार्वभौमिक चाबी बनाई गई जिससे हैकर के पते को खोला गया, और फिर चाबी को पिघला दिया गया। इस कार्य के आधार पर, हैकर हमलों का प्रतिकार करने की क्षमता होना खराब नहीं है।
और अगर आप इसे "यह कोई भी डिसेंट्रलाइज्ड नहीं है" जैसी दार्शनिक चर्चा तक ले जाना चाहते हैं, तो कहने के लिए बहुत कुछ है। क्रिप्टो उद्योग में केंद्रीकृत संचालन कई हैं, लेकिन इस बार कम से कम नकारात्मक घटनाओं को संभालने और समस्याओं का समाधान किया जा रहा है, न कि नकारात्मक घटनाएँ पैदा की जा रही हैं।
वास्तविकता की ओर वापस आकर देखें, KelpDAO से 2.92 अरब की चोरी हुई, जिसमें से केवल 70 मिलियन से अधिक वापस मिले, जो कुल राशि का एक चौथाई से कम है। शेष ETH अभी भी अन्य चेन पर बिखरा हुआ है, Aave पर 100 मिलियन डॉलर से अधिक का नॉन-परफॉर्मिंग ऋण अभी तक सुलझा नहीं हुआ है, और rsETH होल्डर्स को कितना वापस मिलेगा, यह अभी अज्ञात है।
हालांकि Arbitrum ने ईश्वरीय अधिकार का उपयोग किया है, लेकिन यह लड़ाई अभी खत्म नहीं हुई है।