Yazar: Şen Çay TechFlow
Geçen hafta KelpDAO, yaklaşık 300 milyon dolarlık bir hırsızlıkla bu yılın en büyük DeFi güvenlik olayı oldu.
Çalınan ETH, şimdi birden fazla zincirde dağılmış durumda ve bunların yaklaşık 30.765 tanesi Arbitrum zincirindeki bir adrese kalmış, değeri 70 milyon doları aşmaktadır.
Bu hikâyenin artık bittiğini düşünüyorduk, bugün devamı geldi.
Zincir güvenliği kurumu PeckShield'in izlemesine göre, Arbitrum zincirindeki bir haker adresinden para birkaç saat önce taşınmış, ancak garip bir şekilde bu para, neredeyse tamamı sıfır olan 0x00000... gibi garip bir adrese aktarılmıştır.
Herkes o anda hakerin parayı kendi kendine kara delik adresine aktarıp yaktığını mı, yoksa vicdanı ile mi karşılaştı ya da teslim mi oldu diye tahmin ediyordu?
Hiçbiri.
Birkaç saat önce Arbitrum resmi forumu, durumu açıklayan acil eylem duyurusu yayınladı. Hakerin parası, Arbitrum Güvenlik Konseyi tarafından taşındı.
Ancak şaşırtıcı bir şekilde, Arbitrum yönetimi, hakerin adresinin özel anahtarını bilmeden, hakerin parasını dondurmaya ya da transfer etmeye yetkili olmaksızın doğrudan “haker adına” bir transfer emri verdi.
Hacker, kendi eylemleri hakkında bilgi sahibi değil, özel anahtar sızmadı ve zincir üzerindeki kayıtlar, hackerın kendi tarafından gerçekleştirilmiş gibi görünüyor.
Bu işlemi gerçekleştirmenin prensibi, Arbitrum ve Ethereum arasında tüm çapraz zincir mesajlarının bir Inbox adlı köprü sözleşmesinden geçmesidir. Güvenlik Konseyi, acil yetkilerini kullanarak bu sözleşmeyi geçici olarak yükseltti ve yeni bir fonksiyon ekledi:
Köprü işlemi, herhangi bir cüzdan adresi adına yürütülebilir, ancak o cüzdanın özel anahtarı gerekmez.
Daha sonra bu fonksiyonu kullanarak bir mesaj sahtekarlık yaptılar; gönderen, haker cüzdanı olarak yazıldı ve içerik “ETH’imi tümüyle dondurulmuş adrese aktarın” idi. Arbitrum zinciri bu mesajı normal şekilde çalıştırdı ve böylece yukarıdaki zincir üzerindeki transfer ekranında garip bir görüntü oluştu.
Hacker'in parası tamamen aktarıldıktan sonra, sözleşme hemen orijinal sürümüne geri düşer. Yükseltme, sahtecilik, transfer ve geri yükleme tümü bir Ethereum işlemi içinde tamamlanır. Diğer kullanıcılar ve uygulamalar tamamen etkilenmez.
Bu işlem, Arbitrum tarihinde önceden görülmemiştir.
Forum duyurusuna göre, güvenlik konseyi, hakerin kimliğini, bu yıl DeFi alanında en aktif ulusal haker organizasyonu olan Kuzey Kore'ye ait Lazarus Grubu olarak belirlemek için güvenlik güçleriyle önceden onaylaştırdı. Konsey, diğer kullanıcıları etkilemeden işlem yapmadan önce teknik bir değerlendirme yaptı.
Hacker'ın önce yanlış yapması nedeniyle bu yöntem, "herkesin kurallara uymadığını suçlamayın" anlamına geliyor. Buzlanan ETH'nin sonraki işleminin nasıl yapılacağı, Arbitrum DAO yönetim oylaması yoluyla ve güvenlik güçleriyle koordinasyon içinde kararlaştırılacaktır.
70 milyon doların üzerinde çalınan fonların geri kazanılması elbette iyi bir şey. Ancak bu işin gerçekleştirilmesi için dikkat edilmesi gereken bir ön koşul var: Güvenlik Konseyi'nin 12 üyesinden 9'u imza atarsa, tüm yönetim oylamaları atlanarak herhangi bir temel sözleşmenin zincir üzerinde gecikme olmadan yükseltilebilir.
Tebrik sonuçları, endişe kapasite?
Şu anda topluluk bu konuda bölünmüş tepkiler gösteriyor.
Bazıları Arbitrum'un kritik anda varlıkları koruduğunu ve L2'ye olan güvenini biraz artırdığını düşünüyor. Diğerleri ise oldukça doğrudan bir soru soruyor: Eğer 9 kişi imza atarak herhangi birinin adına herhangi bir varlığı harekete geçirebiliyorsa, bu hâlâ merkeziyetsiz mi denir?
Yazar, her iki tarafın aslında aynı şeyden bahsetmediğini düşünüyor.
İlkisi sonucu, ikincisi yeteneği ifade ediyor. Bu olayın sonucu kesinlikle iyi: 70 milyondan fazla çalınan fon geri alındı. Ancak Arbitrum’un bu kez gösterdiği çok imzalı sözleşme fonksiyonu değiştirme yeteneği kendisi nötr; bu yeteneğin gelecekte ne için, ne kadar için ve nasıl kullanılacağı aslında komitenin yönetimiyle belirlenecektir.
Ancak, Arbitrum kullanan çoğu kişi için bu tartışma, başka bir gerçek kadar pratik değildir. Arbitrum özel bir durum değildir; şu anda ana akım L2'lerin neredeyse hepsi benzer acil yükseltme yetkilerini korumaktadır.
Kullandığınız zincirin de benzer yetkilere sahip benzer bir güvenlik konseyi olma olasılığı yüksektir. Bu, Arbitrum'a özgü bir seçim değil, şu aşamada hemen hemen tüm L2'lerde bu genel tasarım mevcut.
Bakış açınızı değiştirirseniz, bu savunma-atağı daha büyük bir resmi ortaya çıkarmaktadır.
Saldırgan, Kuzey Kore'ye ait Lazarus Grubu olup, bu yıl itibarıyla en az 18 DeFi saldırısına neden olduğu belirlenmiştir. Üç hafta önce, tamamen farklı bir yöntemle Drift Protocol'den 285 milyon dolar çalmıştı.
Bir tarafta ulusal düzeyde bir hacker saldırıları sürekli yükseliyor, diğer tarafta L2, temel yetkileri kullanarak karşı saldırı başlatıyor. DeFi güvenlik savaşı, "sonradan dondurma, zincir üzerinde çağrı yapma, beyaz şapkalıların müdahale etmesini dileyerek" aşamasından yeni bir aşamaya giriyor.
Olağanüstü bir durumda, bir hakerin adresini açmak için bir evrensel anahtar üretildi ve iş bittikten sonra anahtar eritildi. Bu olaya yalnızca bakıldığında, haker saldırılarına karşı tepki verebilmek kötü değildir.
Eğer konuyu “bu tamamen merkeziyetsiz değil” felsefi tartışmasına kadar yükseltmek zorundaysanız, söylenecek çok şey vardır. Kripto endüstrisinde merkezi işlemler sayısızdır; bu durumda ise negatif olaylar yaratmak yerine, negatif olaylarla başa çıkılıp sorunlar çözülüyor.
Daha gerçekçi bir bakışla, KelpDAO'nun kaybettiği miktar 292 milyon, geri kazanılan miktar ise 70 milyondan az, toplamın dörtte birinden daha az. Kalan ETH'ler hâlâ diğer zincirlerde dağılmış durumda, Aave'de 100 milyon doların üzerindeki kötü borçlar hâlâ çözüme kavuşmamış ve rsETH sahiplerinin ne kadarını geri alabilecekleri bilinmiyor.
Arbitrum, tanrısal yetkileri kullanmasına rağmen, bu savaşın henüz bitmediği açıktır.