Beranda
Berita
Detail

Arbitrum Memulihkan $70 Juta Dana yang Dicuri Menggunakan Protokol Darurat

iconOdaily
Bagikan
Share IconShare IconShare IconShare IconShare IconShare IconCopy
This is the logo of the coin.
ETH
$2.314,560,78%
AI summary iconRingkasan

expand icon
Arbitrum menggunakan protokol daruratnya untuk memulihkan $70 juta ETH yang dicuri dari KelpDAO, sejalan dengan langkah-langkah CFT untuk mencegah aliran dana ilegal. Dewan keamanan sementara meningkatkan kontrak jembatan untuk membekukan dana dalam satu transaksi Ethereum. Tindakan ini, yang memerlukan persetujuan dari sembilan dari dua belas anggota dewan, memicu kekhawatiran terkait sentralisasi. Dana akan dikelola melalui tata kelola DAO dan dibagikan kepada penegak hukum. Seiring mendekatnya MiCA, intervensi on-chain semacam ini mungkin menghadapi tinjauan regulasi yang lebih ketat.

Penulis asli: Shenchao TechFlow

Minggu lalu, KelpDAO diretas dan kehilangan hampir $300 juta, menjadi insiden keamanan negatif terbesar di DeFi sejauh ini tahun ini.

ETH yang dicuri sekarang tersebar di beberapa rantai, dengan sekitar 30.765 tetap berada di alamat di rantai Arbitrum, bernilai lebih dari 70 juta dolar AS.

Cerita ini awalnya dianggap sudah selesai, tetapi hari ini muncul sekuelnya.

Menurut pemantauan lembaga keamanan blockchain PeckShield, dana dari alamat peretas di jaringan Arbitrum telah ditarik beberapa jam yang lalu, tetapi anehnya dana tersebut ditransfer ke alamat aneh 0x00000... yang hampir seluruhnya terdiri dari angka nol.

gambar

Pada saat itu, semua orang menebak, apakah peretas sendiri membakar uangnya di alamat black hole? Ataukah ia tersadar atau ditaklukkan?

Bukan sama sekali.

Beberapa jam yang lalu, forum resmi Arbitrum memposting pengumuman tindakan darurat yang menjelaskan situasinya. Dana peretas telah dipindahkan oleh Dewan Keamanan Arbitrum.

Namun yang menarik, tanpa mengetahui kunci pribadi alamat peretas, Dewan Arbitrum tidak membekukan dana peretas maupun memiliki wewenang untuk mentransfernya, melainkan langsung mengirimkan perintah transfer "atas nama peretas".

Pelaku peretasan sendiri tidak mengetahui hal ini, kunci pribadi tidak bocor, dan catatan di blockchain tampak seperti operasi yang dilakukan oleh peretas itu sendiri.

gambar

Prinsip di balik operasi ini adalah bahwa semua pesan lintas rantai antara Arbitrum dan Ethereum harus melewati kontrak jembatan bernama Inbox. Dewan Keamanan menggunakan wewenang darurat untuk sementara meningkatkan kontrak ini, menambahkan fungsi baru:

Mengirim transaksi lintas rantai atas nama alamat dompet apa pun, tanpa memerlukan kunci pribadi dompet tersebut.

Kemudian mereka menggunakan fungsi ini untuk memalsukan pesan, di mana pengirim menuliskan dompet peretas, dan isinya: "Pindahkan seluruh ETH saya ke alamat yang dibekukan." Setelah rantai Arbitrum menerima pesan tersebut, ia menjalankannya seperti biasa, sehingga muncul adegan aneh seperti yang terlihat pada tangkapan layar transfer on-chain di atas.

Setelah dana peretas ditransfer, kontrak segera turun ke versi aslinya. Peningkatan, pemalsuan, transfer, dan pemulihan semuanya dikemas dalam satu transaksi Ethereum. Pengguna dan aplikasi lain sama sekali tidak terpengaruh.

Operasi ini belum pernah terjadi sebelumnya dalam sejarah Arbitrum.

Menurut pengumuman forum, Dewan Keamanan terlebih dahulu mengonfirmasi identitas peretas kepada pihak penegak hukum, yang menunjuk ke Lazarus Group asal Korea Utara, kelompok peretas berskala nasional paling aktif di bidang DeFi tahun ini. Dewan melakukan evaluasi teknis untuk memastikan tidak ada dampak terhadap pengguna lain sebelum bertindak.

Karena peretaslah yang salah terlebih dahulu, langkah ini agak berarti "jangan salahkan orang-orang karena tidak mengikuti aturan". Mengenai penanganan lebih lanjut atas ETH yang dibekukan, harus melalui pemungutan suara tata kelola DAO Arbitrum dan koordinasi dengan pihak berwenang.

Mengembalikan lebih dari 70 juta dana yang dicuri tentu saja hal yang baik. Namun, prasyarat untuk mencapai hal ini patut diperhatikan: sembilan dari 12 anggota Dewan Keamanan dapat menandatangani untuk melewati semua pemungutan suara tata kelola dan meningkatkan kontrak inti di rantai tanpa penundaan.

Pujian atas hasil, kekhawatiran atas kemampuan?

Saat ini, reaksi komunitas terhadap hal ini sangat terpecah.

Sebagian orang merasa Arbitrum melakukan pekerjaan yang baik, melindungi aset pada saat kritis, dan justru meningkatkan kepercayaan terhadap L2. Sebagian lainnya mengajukan pertanyaan yang sangat langsung: Jika sembilan orang dapat menandatangani untuk menggerakkan aset apa pun atas nama siapa pun, apakah ini masih disebut desentralisasi?

Saya berpendapat bahwa kedua pihak tidak membahas hal yang sama.

Yang pertama membahas hasil, yang kedua membahas kemampuan. Hasil dari peristiwa ini pasti positif, dana yang dicuri sebanyak lebih dari 70 juta telah berhasil dilacak kembali. Namun, kemampuan Arbitrum untuk mengubah fungsi kontrak melalui multi-sig bersifat netral; penggunaannya di masa depan, apakah boleh dilakukan, dan bagaimana cara melakukannya, pada dasarnya bergantung pada tata kelola komite.

Namun, bagi sebagian besar pengguna Arbitrum, diskusi ini mungkin kurang praktis dibandingkan fakta lainnya. Arbitrum tidak istimewa; hampir semua L2 utama saat ini mempertahankan otoritas peningkatan darurat yang serupa.

Blockchain yang Anda gunakan kemungkinan besar juga memiliki dewan keamanan serupa dengan kemampuan serupa. Ini bukan pilihan unik Arbitrum; hampir semua L2 pada tahap ini memiliki desain umum ini.

Dari sudut pandang lain, pertahanan dan serangan kali ini sebenarnya mengungkap gambaran yang lebih besar.

Pelaku serangan adalah Lazarus Group dari Korea Utara, yang sejak awal tahun ini telah dikaitkan dengan setidaknya 18 serangan DeFi. Tiga minggu lalu, mereka mencuri $285 juta dari Drift Protocol dengan metode yang sama sekali berbeda.

Di satu sisi, peretas tingkat nasional terus meningkatkan metode serangan, sementara di sisi lain, L2 mulai menggunakan hak akses dasar untuk membalas. Perang keamanan DeFi sedang memasuki tahap baru, berpindah dari "membekukan setelah kejadian, mengumumkan di blockchain, berharap hacker putih ikut campur".

Di masa darurat, dibuatkan kunci serba bisa untuk membuka alamat peretas, dan setelah selesai, kuncinya dilebur. Hanya dari kejadian ini saja, kemampuan untuk mengatasi serangan peretas tidak bisa dikatakan buruk.

Namun, jika harus membawa hal ini ke dalam diskusi filosofis bahwa “ini sama sekali tidak terdesentralisasi,” maka ada banyak hal yang bisa dibahas. Operasi terpusat dalam industri kripto tidak sedikit jumlahnya, tetapi kali ini setidaknya mereka sedang menangani insiden negatif dan memecahkan masalah, bukan menciptakan insiden negatif.

Dari sudut pandang yang lebih realistis, KelpDAO telah kehilangan 292 juta, dan baru berhasil menemukan kembali sekitar 70 juta, kurang dari seperempat dari totalnya. ETH yang tersisa masih tersebar di berbagai rantai lain, dan lebih dari 100 juta dolar AS utang macet di Aave belum terselesaikan, sehingga jumlah yang dapat dikembalikan kepada pemegang rsETH masih belum diketahui.

Meskipun Arbitrum telah menggunakan hak istimewa Tuhan, pertarungan ini jelas belum selesai.

Sumber:Tampilkan versi asli
Penafian: Informasi pada halaman ini mungkin telah diperoleh dari pihak ketiga dan tidak mencerminkan pandangan atau opini KuCoin. Konten ini disediakan hanya untuk tujuan informasi umum, tanpa representasi atau jaminan apa pun, dan tidak dapat ditafsirkan sebagai saran keuangan atau investasi. KuCoin tidak bertanggung jawab terhadap segala kesalahan atau kelalaian, atau hasil apa pun yang keluar dari penggunaan informasi ini. Berinvestasi di aset digital dapat berisiko. Harap mengevaluasi risiko produk dan toleransi risiko Anda secara cermat berdasarkan situasi keuangan Anda sendiri. Untuk informasi lebih lanjut, silakan lihat Ketentuan Penggunaan dan Pengungkapan Risiko.