Minggu lalu KelpDAO dibobol hacker dan kehilangan hampir 300 juta dolar, menjadi insiden keamanan negatif terbesar di DeFi tahun ini.

ETH yang dicuri sekarang tersebar di beberapa chain, di mana sekitar 30.765 di antaranya tetap di alamat di chain Arbitrum, bernilai lebih dari 70 juta dolar.
Cerita ini seharusnya sudah selesai, tetapi hari ini muncul kelanjutan.
Menurut lembaga keamanan chain PeckShield yang memantau, uang di alamat hacker di chain Arbitrum telah dipindahkan beberapa jam yang lalu, tetapi anehnya uang tersebut dipindahkan ke alamat aneh yang tampaknya hampir seluruhnya berisi nol, 0x00000... .
Semua orang saat itu menebak, apakah hacker sendiri yang memasukkan uang ke dalam alamat lubang hitam dan membakarnya? Atau karena merasa bersalah atau telah diserahkan?
Bukan.
Beberapa jam yang lalu, forum resmi Arbitrum mengeluarkan pengumuman tindakan darurat yang menjelaskan situasinya. Uang hacker tersebut telah dipindahkan oleh Dewan Keamanan Arbitrum.
Namun yang aneh adalah, tanpa mengetahui kunci pribadi alamat hacker, Dewan Keamanan Arbitrum tidak membekukan uang hacker maupun memiliki hak untuk mentransfer, melainkan langsung mengirim instruksi transfer "atas nama hacker".
Hacker sendiri tidak tahu-menahu, kunci pribadi tidak bocor, dan catatan di chain tampak seperti hacker yang melakukan sendiri.
Prinsip operasi ini didasarkan pada fakta bahwa semua pesan lintas chain antara Arbitrum dan Ethereum harus melalui sebuah kontrak jembatan bernama Inbox. Dewan Keamanan menggunakan hak darurat untuk sementara meningkatkan kontrak ini, menambahkan fungsi baru:
Mengirim transaksi lintas chain atas nama alamat wallet apa pun, tanpa perlu kunci pribadi wallet tersebut.
Kemudian mereka menggunakan fungsi ini untuk memalsukan sebuah pesan, pengirimnya adalah wallet hacker, isinya adalah "Pindahkan semua ETH saya ke alamat pembekuan." Setelah diterima chain Arbitrum, perintah ini dieksekusi seperti biasa, sehingga muncul screenshot transfer aneh di atas.
Setelah uang hacker dipindahkan, kontrak ini langsung kembali ke versi semula. Upgrade, pemalsuan, transfer, dan pemulihan semuanya dilakukan dalam satu transaksi Ethereum. Pengguna dan aplikasi lain sama sekali tidak terpengaruh.
Operasi ini tidak pernah terjadi sebelumnya dalam sejarah Arbitrum.
Menurut pengumuman forum, Dewan Keamanan sebelumnya telah mengonfirmasi identitas hacker kepada penegak hukum, yang mengarah ke Lazarus Group dari Korea Utara, organisasi hacker tingkat nasional yang paling aktif di bidang DeFi tahun ini. Dewan melakukan evaluasi teknis dan memastikan tidak mempengaruhi pengguna lain sebelum melakukan tindakan.
Karena tindakan hacker yang salah di awal, langkah ini terkesan seperti "jangan menyalahkan semua orang karena tidak beretika." Bagaimana penanganan ETH yang dibekukan selanjutnya akan dilakukan melalui voting tata kelola DAO Arbitrum, dan berkoordinasi dengan penegak hukum.
Mengembalikan lebih dari 70 juta dolar yang dicuri tentu hal yang baik. Tapi, syarat utama keberhasilan ini perlu diperhatikan: 9 dari 12 anggota Dewan Keamanan dapat menandatangani, sehingga bisa melewati semua voting tata kelola dan melakukan upgrade kontrak inti di chain tanpa penundaan.
Mengapresiasi hasilnya, tetapi khawatir tentang kemampuannya?
Saat ini, reaksi komunitas terhadap kejadian ini cukup terbagi.
Sebagian orang merasa Arbitrum melakukan hal yang bagus, melindungi aset di saat kritis, dan malah meningkatkan kepercayaan terhadap L2. Sebagian lagi menanyakan pertanyaan langsung: jika 9 orang bisa menandatangani dan menggerakkan aset atas nama siapa saja, apakah ini masih disebut desentralisasi?
Menurut penulis, kedua pihak sebenarnya berbicara tentang hal yang berbeda.
Yang pertama berbicara tentang hasil, yang kedua tentang kemampuan. Hasilnya tentu baik, uang lebih dari 70 juta dolar yang dicuri berhasil dipulihkan. Tapi kemampuan untuk mengubah fungsi kontrak multi-tanda ini sendiri bersifat netral; apa yang dilakukan dengan kemampuan ini di masa depan, apakah bisa digunakan, dan bagaimana penggunaannya, semuanya sangat bergantung pada tata kelola dewan.
Namun, bagi kebanyakan pengguna Arbitrum, diskusi ini mungkin tidak seefektif fakta lain. Arbitrum tidak unik; saat ini hampir semua L2 utama memiliki hak upgrade darurat serupa.
Chain yang Anda gunakan kemungkinan besar juga memiliki dewan keamanan serupa, dengan kemampuan yang sama. Ini bukan pilihan unik Arbitrum, melainkan desain umum yang hampir dimiliki semua L2 saat ini.
Dari sudut pandang lain, insiden ini sebenarnya mengungkapkan gambaran yang lebih besar.
Penyerang adalah Lazarus Group dari Korea Utara, yang tahun ini dikaitkan dengan setidaknya 18 serangan DeFi. Tiga minggu lalu, mereka mencuri 285 juta dolar dari Drift Protocol dengan metode yang sama sekali berbeda.
Di satu sisi, negara-negara tingkat tinggi hacker terus meningkatkan metode serangan mereka, di sisi lain, L2 mulai menggunakan hak dasar untuk melawan balik. Keamanan DeFi sedang memasuki tahap baru, dari "pembekuan pasca kejadian, panggilan di chain, dan doa agar white hat masuk" ke sebuah fase baru.
Dalam situasi darurat ini, mereka membuat kunci universal yang membuka alamat hacker, lalu setelah selesai, mengembalikan kunci tersebut. Dari kejadian ini, kemampuan untuk menghadapi serangan hacker sebenarnya tidak buruk.
Dan jika harus mengangkat masalah ini ke diskusi filosofi tentang "tidak lagi desentralisasi," maka banyak hal yang bisa dibicarakan. Operasi sentralisasi di industri kripto tidak sedikit, dan setidaknya kali ini mereka menangani insiden negatif dan menyelesaikan masalah, bukan menciptakan insiden.
Secara pragmatis, yang dicuri dari KelpDAO adalah 292 juta dolar, yang berhasil dipulihkan adalah lebih dari 70 juta dolar, kurang dari seperempat dari totalnya. ETH yang tersisa tersebar di chain lain, dan utang buruk di Aave yang lebih dari 1 miliar dolar belum terselesaikan, serta pemilik rsETH masih belum tahu berapa banyak yang bisa mereka dapatkan kembali.
Bahkan jika Arbitrum menggunakan hak istimewa seperti dewa, pertempuran ini jelas belum berakhir.