Tác giả gốc: Shenchao TechFlow
Tuần trước, KelpDAO bị hacker đánh cắp gần 300 triệu USD, trở thành sự kiện bảo mật tiêu cực lớn nhất trong DeFi cho đến nay trong năm nay.
Số ETH bị đánh cắp hiện đã phân tán trên nhiều chuỗi, trong đó khoảng 30.765 ETH vẫn còn ở một địa chỉ trên chuỗi Arbitrum, trị giá hơn 70 triệu USD.
Câu chuyện này vốn tưởng đã kết thúc, nhưng hôm nay lại có phần tiếp theo.
Theo giám sát của tổ chức an toàn chuỗi PeckShield, số tiền trong địa chỉ hacker trên chuỗi Arbitrum đã được chuyển đi vài giờ trước, nhưng điều kỳ lạ là số tiền này đã được chuyển đến một địa chỉ kỳ lạ có dạng 0x00000... gần như toàn bộ là số không.
Lúc đó, mọi người đều đồn đoán, kẻ tấn công có tự mình chuyển toàn bộ tiền vào địa chỉ đen để đốt cháy không? Hay là thức tỉnh lương tâm hoặc bị thu phục?
Không phải vậy.
Vài giờ trước, diễn đàn chính thức của Arbitrum đã đăng một thông báo hành động khẩn cấp giải thích tình hình. Số tiền của hacker đã được Hội đồng an toàn của Arbitrum chuyển đi.
Tuy nhiên, điều kỳ lạ là, mà không biết khóa riêng của địa chỉ hacker, Hội đồng Arbitrum không đóng băng tiền của hacker cũng không có quyền chuyển tiền, mà trực tiếp gửi một lệnh chuyển tiền “nhân danh hacker”.
Người dùng máy tính không biết gì, chìa khóa riêng không bị rò rỉ, các bản ghi trên chuỗi trông giống như chính hacker đã thực hiện các thao tác.
Nguyên lý thực hiện thao tác này là tất cả các tin nhắn liên chuỗi giữa Arbitrum và Ethereum đều phải đi qua một hợp đồng cầu gọi là Inbox. Hội đồng bảo mật đã sử dụng quyền khẩn cấp để tạm thời nâng cấp hợp đồng này, thêm một hàm mới:
Gửi giao dịch chéo chuỗi dưới danh nghĩa bất kỳ địa chỉ ví nào, nhưng không cần khóa riêng của ví đó.
Sau đó, họ sử dụng hàm này để tạo một tin giả, người gửi ghi là ví của hacker, nội dung là “Chuyển toàn bộ ETH của tôi đến địa chỉ bị khóa”. Sau khi chuỗi Arbitrum nhận được, nó vẫn thực hiện bình thường, dẫn đến cảnh tượng kỳ lạ trong ảnh chụp giao dịch trên chuỗi ở trên.
Sau khi chuyển hết tiền của hacker, hợp đồng sẽ lập tức hạ cấp về phiên bản gốc. Việc nâng cấp, làm giả, chuyển tiền và khôi phục đều được đóng gói trong một giao dịch Ethereum duy nhất. Người dùng và ứng dụng khác hoàn toàn không bị ảnh hưởng.
This action has no precedent in Arbitrum's history.
Theo thông báo trên diễn đàn, Hội đồng Bảo an đã xác minh danh tính hacker với các cơ quan thực thi pháp luật, chỉ ra nhóm Lazarus của Triều Tiên – tổ chức hacker cấp quốc gia hoạt động tích cực nhất trong lĩnh vực DeFi năm nay. Hội đồng đã thực hiện đánh giá kỹ thuật và đảm bảo không ảnh hưởng đến người dùng khác trước khi hành động.
Vì hacker đã làm sai trước, nên biện pháp này hơi mang ý nghĩa “đừng trách người ta không giữ đạo đức”. Về việc xử lý ETH bị phong tỏa sau này, cần thông qua bỏ phiếu quản trị DAO của Arbitrum và phối hợp với các cơ quan thực thi pháp luật.
Việc truy hồi hơn 70 triệu đô la Mỹ bị đánh cắp tất nhiên là điều tốt. Nhưng điều cần lưu ý là chỉ cần 9 trong số 12 thành viên của Hội đồng Bảo an ký tên, là có thể bỏ qua tất cả các cuộc bỏ phiếu quản trị và nâng cấp tức thì bất kỳ hợp đồng cốt lõi nào trên chuỗi.
Khen ngợi kết quả, lo ngại về năng lực?
Hiện tại, phản ứng của cộng đồng về vấn đề này rất chia rẽ.
Một số người cho rằng Arbitrum đã làm rất tốt khi bảo vệ tài sản vào thời điểm then chốt, khiến niềm tin vào L2 thậm chí còn tăng lên một chút. Tuy nhiên, một số người khác lại đặt ra một câu hỏi rất trực tiếp: Nếu chỉ cần 9 người ký tên là có thể di chuyển bất kỳ tài sản nào dưới danh nghĩa bất kỳ ai, thì còn gọi là phi tập trung được sao?
Tôi cho rằng, hai bên đang nói về hai chuyện khác nhau.
Người trước đang nói về kết quả, người sau đang nói về khả năng. Kết quả của sự việc này chắc chắn là tốt đẹp, đã thu hồi được hơn 70 triệu đô la Mỹ bị đánh cắp. Tuy nhiên, khả năng thay đổi hàm hợp đồng bằng đa chữ ký mà Arbitrum thể hiện trong lần này bản thân nó là trung lập; việc sử dụng nó trong tương lai để làm gì, có thể làm hay không, và làm thế nào, thực chất đều phụ thuộc vào quản trị của ủy ban.
Tuy nhiên, đối với hầu hết người dùng Arbitrum, cuộc thảo luận này có thể không thực tế bằng một sự thật khác: Arbitrum không có gì đặc biệt; hiện tại, hầu hết các L2 phổ biến đều duy trì quyền nâng cấp khẩn cấp tương tự.
Chuỗi bạn đang sử dụng rất có thể cũng có một hội đồng bảo mật tương tự với những khả năng tương tự. Đây không phải là lựa chọn độc quyền của Arbitrum; hầu hết các L2 ở giai đoạn hiện tại đều có thiết kế phổ biến này.
Ở một góc độ khác, cuộc tấn công và phòng thủ lần này đã phơi bày một bức tranh lớn hơn.
Nhóm tấn công là Lazarus Group của Triều Tiên, đã bị gán trách nhiệm cho ít nhất 18 cuộc tấn công DeFi kể từ đầu năm nay. Ba tuần trước, họ vừa đánh cắp 285 triệu USD từ Drift Protocol bằng một phương pháp hoàn toàn khác.
Một bên là các hacker cấp quốc gia liên tục nâng cấp phương thức tấn công, một bên là L2 bắt đầu sử dụng quyền hạn nền tảng để phản công. Cuộc chiến bảo mật của DeFi đang bước vào một giai đoạn mới, từ "đóng băng sau sự cố, kêu gọi trên chuỗi, cầu mong sự can thiệp của các white hat".
Trong thời điểm khẩn cấp, đã chế tạo một chìa khóa vạn năng để mở địa chỉ của hacker, sau khi xong việc thì nung chảy chìa khóa đó. Chỉ riêng từ việc này, khả năng ứng phó với các cuộc tấn công của hacker không phải là kém.
Nếu nhất định phải nâng vấn đề này lên mức thảo luận triết học rằng “điều này hoàn toàn không phi tập trung”, thì có quá nhiều điều có thể nói. Các hoạt động tập trung trong ngành tiền mã hóa không phải là ít, nhưng lần này ít nhất là đang xử lý sự kiện tiêu cực và giải quyết vấn đề, chứ không tạo ra sự kiện tiêu cực.
Quay lại nhìn một cách thực tế, KelpDAO đã bị đánh cắp 292 triệu, số tiền thu hồi được chỉ hơn 70 triệu, chưa đến một phần tư tổng số. Số ETH còn lại vẫn phân tán trên các chuỗi khác, khoản nợ xấu trên Aave vượt quá 100 triệu USD vẫn chưa có hướng giải quyết, và số lượng rsETH mà người nắm giữ có thể lấy lại vẫn là một ẩn số.
Even if Arbitrum has invoked divine authority, this battle is clearly far from over.