Автор оригинала: Shenchao TechFlow
На прошлой неделе KelpDAO был взломан, и хакеры украли почти 300 миллионов долларов США, что стало крупнейшим негативным инцидентом в области DeFi за этот год.
Украденные ETH теперь распределены по нескольким цепочкам, из которых около 30 765 находятся на адресе в цепочке Arbitrum и стоят более 70 миллионов долларов США.
Эту историю считали завершенной, но сегодня вышел сиквел.
Согласно мониторингу от цепочечной безопасности PeckShield, средства хакерского адреса на цепочке Arbitrum были выведены несколько часов назад, но странно то, что эти средства были отправлены на странный адрес 0x00000..., состоящий почти исключительно из нулей.
Все тогда гадали, сжег ли хакер деньги сам, отправив их на черный ход, или его охватило чувство вины или он был рекрутирован?
Нет.
Несколько часов назад на официальном форуме Arbitrum был опубликован экстренный бюллетень с объяснением ситуации. Средства хакера были переведены Советом безопасности Arbitrum.
Однако, что удивительно, не зная приватный ключ хакерского адреса, совет Arbitrum не заморозил средства хакера и не имел права выполнять перевод, а просто напрямую отправил команду на перевод «от имени хакера».
Хакер не знал об этом, приватный ключ не был скомпрометирован, и запись в цепочке выглядит так, будто действия были выполнены самим хакером.
Принцип реализации этой операции заключается в том, что все межсетевые сообщения между Arbitrum и Ethereum проходят через мост-контракт под названием Inbox. Совет безопасности воспользовался экстренными полномочиями для временного обновления этого контракта, добавив новую функцию:
Отправить межсетевой перевод от имени любого адреса кошелька, не требуя приватного ключа этого кошелька.
Затем они использовали эту функцию для подделки сообщения, в котором отправитель был указан как кошелек хакера, а содержание гласило: «Переведите все мои ETH на замороженный адрес». После получения этой команды цепочка Arbitrum выполнила её штатно, что привело к странной ситуации, изображённой на скриншоте цепочечного перевода.
После перевода всех средств хакера, контракт немедленно возвращается к оригинальной версии. Обновление, подделка, перевод и восстановление выполняются в рамках одной транзакции Ethereum. Другие пользователи и приложения полностью не затрагиваются.
Эта операция не имеет прецедентов в истории Arbitrum.
Согласно объявлению на форуме, Совет безопасности заранее подтвердил личность хакера с помощью правоохранительных органов, указав на северокорейскую группу Lazarus — наиболее активную национальную хакерскую группу в сфере DeFi в этом году. Совет провел техническую оценку и действовал только после того, как убедился, что это не повлияет на других пользователей.
Поскольку хакер первым нарушил правила, этот шаг напоминает «не вините всех, что они не соблюдают кодекс чести». Что касается дальнейшей участи замороженных ETH, решение будет принято через голосование DAO Arbitrum в координации с правоохранительными органами.
Вернуть более 70 миллионов украденных средств, конечно, хорошо. Однако важно отметить, что для этого достаточно подписей 9 из 12 членов Совета безопасности, чтобы обойти все голосования по управлению и мгновенно обновить любые ключевые смарт-контракты в цепочке.
Похвала результатам, опасения по поводу способностей?
Сейчас реакция сообщества на этот вопрос разделилась.
Некоторые считают, что Arbitrum отлично справился и в критический момент защитил активы, что немного укрепило доверие к L2. Другие задали прямой вопрос: если для движения любых активов от имени любого человека достаточно подписей девяти человек, можно ли это назвать децентрализацией?
Я считаю, что обе стороны говорят не об одном и том же.
Первое говорит о результате, второе — о способности. Результат этого события, безусловно, положительный: более 70 миллионов украденных средств были возвращены. Однако сама способность Arbitrum изменять функции смарт-контракта через мультиподпись нейтральна; то, что будет делать эта способность в будущем, можно ли ею пользоваться и как именно — зависит от управления комитета.
Однако для большинства пользователей Arbitrum этот вопрос может быть менее актуальным, чем другой факт: Arbitrum не является исключением — большинство основных L2-решений сегодня сохраняют аналогичные права на экстренное обновление.
Вероятно, та цепочка, которую вы используете, также имеет аналогичный совет по безопасности с похожими возможностями. Это не уникальный выбор Arbitrum — на данном этапе почти все L2 используют эту общую архитектуру.
С другой точки зрения, эта атака и оборона фактически раскрыли более масштабную картину.
Атакующей стороной является северокорейская группа Lazarus, которой приписывают как минимум 18 атак на DeFi в этом году. Три недели назад она похитила 285 миллионов долларов США у Drift Protocol, применив совершенно другой метод.
С одной стороны, государственные хакеры постоянно совершенствуют свои методы атак, с другой — L2 начинают использовать базовые права для контратаки. Безопасность DeFi переходит в новую фазу, выходя за рамки «заморозки после инцидента, публичных призывов в блокчейне и надежды на вмешательство белых шляп».
В чрезвычайной ситуации была изготовлена универсальная ключевая отмычка, которой открыли адрес хакера, после чего ключ был переплавлен. Только исходя из этого случая, способность справляться с атаками хакеров — не так уж и плохо.
А если действительно поднимать это до философской дискуссии о том, что «это совсем не децентрализовано», то говорить можно очень многое. В криптоиндустрии централизованные операции встречаются не редко; в этот раз, по крайней мере, идет работа по устранению негативных последствий и решению проблем, а не создание новых.
Вернувшись к реальности, можно отметить, что KelpDAO была ограблена на 2,92 млрд, из которых возвращено лишь 70 млн — менее четверти общей суммы. Оставшиеся ETH всё ещё распределены по другим блокчейнам, а более 100 млн долларов США долгов на Aave пока не погашены — сколько rsETH-держатели смогут вернуть, остаётся неизвестным.
Даже если Arbitrum использовал божественные полномочия, эта битва явно еще не закончена.