Arbitrum притворился хакером и "украл" обратно деньги, потерянные KelpDAO

Автор: Deep潮 TechFlow

На прошлой неделе KelpDAO был взломан хакером почти на 300 миллионов долларов, став самым крупным негативным инцидентом в сфере DeFi в этом году.

Украденный ETH сейчас разбросан по нескольким цепочкам, из которых примерно 30 765 оставлены на одном адресе в сети Arbitrum, стоимостью более 70 миллионов долларов.

Эта история казалась уже завершенной, но сегодня появился продолжение.

По данным цепочной безопасности PeckShield, деньги с хакерского адреса в сети Arbitrum были переведены несколько часов назад, но странно, что эти деньги были отправлены на странный адрес, выглядящий почти полностью как ноль: 0x00000… .

Все тогда гадали, сам хакер отправил деньги в черную дыру или, может быть, почувствовал совесть или был подкуплен?

Но это не так.

Несколько часов назад на официальном форуме Arbitrum было опубликовано срочное объявление о действиях, объясняющее ситуацию. Деньги хакера были переведены Советом по безопасности Arbitrum.

Но удивительно то, что, не зная приватного ключа хакера, Совет по безопасности Arbitrum ни не заморозил деньги, ни не имел права на перевод, а прямо «от имени хакера» отправил команду на перевод.

Сам хакер при этом не в курсе, приватный ключ не был скомпрометирован, а записи в цепочке выглядят так, будто операцию произвел сам хакер.

Механизм этого действия основан на том, что все межцепочные сообщения между Arbitrum и Ethereum проходят через мостовой контракт под названием Inbox. В экстренных случаях Совет по безопасности временно повысил привилегии этого контракта, добавив новую функцию:

Отправлять межцепочные транзакции от имени любого кошелька, без необходимости знать его приватный ключ.

Затем они использовали эту функцию для фальсификации сообщения, где отправитель — это кошелек хакера, а содержание — «перевести все мои ETH на замороженный адрес». После получения сообщение в сети Arbitrum было выполнено как обычно, что и привело к появлению вышеуказанных странных транзакций.

После перевода денег хакера этот контракт сразу же был понижен до исходной версии. Обновление, фальсификация, перевод и восстановление — всё было выполнено в рамках одной транзакции Ethereum. Остальные пользователи и приложения при этом остались незатронутыми.

Такого прецедента в истории Arbitrum ранее не было.

По сообщению форума, Совет по безопасности заранее согласовал свои действия с правоохранительными органами, указав на причастность группы Lazarus из Северной Кореи — самой активной государственно-спонсируемой хакерской группировки в сфере DeFi в этом году. После технической оценки и убеждения, что это не повлияет на других пользователей, было принято решение действовать.

Поскольку неправомерные действия хакера были очевидны, этот ход можно считать «не обвиняйте всех в недобросовестности». Что касается дальнейшей судьбы замороженных ETH, то решение будет приниматься через голосование DAO Arbitrum и в координации с правоохранительными органами.

Восстановление более 70 миллионов украденных средств — безусловно, хорошая новость. Но важно учитывать, что для этого Совет по безопасности, состоящий из 12 членов, подписал 9 из них — и это позволяет обойти все голосования по управлению, мгновенно обновляя любые ключевые контракты в цепочке.

Похвала за результат или опасения по поводу возможностей?

На данный момент реакция сообщества разделилась.

Одни считают, что Arbitrum поступил достойно, защитив активы в критический момент, и это повысило доверие к L2. Другие задаются прямым вопросом: если 9 человек могут подписать и выполнить любые действия от имени любого, разве это действительно децентрализация?

Я считаю, что обе стороны говорят о разных вещах.

Первая — о результате, вторая — о возможностях. Итог, безусловно, положительный: украденные 70+ миллионов возвращены. Но способность использовать функцию мультиподписания для изменения контрактов — нейтральна сама по себе; как эта возможность будет использована в будущем, зависит от управления советом.

Для большинства пользователей Arbitrum это, возможно, не так важно, поскольку подобные механизмы есть и у других L2. Вероятно, у большинства цепочек есть аналогичные советы по безопасности с подобными полномочиями. Это не уникальный выбор Arbitrum, а скорее стандартный дизайн для большинства L2 на данном этапе.

С другой стороны, этот инцидент показывает более широкую картину.

Атакующие — это Lazarus Group из Северной Кореи, которая с начала года была связана минимум с 18 атаками на DeFi. Три недели назад они украли 285 миллионов долларов у Drift Protocol, применяя совершенно другой подход.

Одновременно государственные хакеры постоянно совершенствуют свои методы, а L2 начинают использовать свои базовые полномочия для ответных мер. Безопасность DeFi переходит в новую фазу — от «послеинцидентного замораживания, публичных заявлений и молитв о вмешательстве белых шляп» к более активным действиям.

Создав универсальный ключ для доступа к адресам хакеров, а затем «растворив» его после завершения операции, можно сказать, что у системы есть возможность реагировать на атаки. И это уже не так плохо.

Если же поднимать вопрос о «недецентрализации» с философской точки зрения, то можно сказать многое. Централизованные операции в криптоиндустрии — не редкость, и этот случай показывает, что в ситуации негативных событий команда способна не только их решать, но и предотвращать их развитие.

Если смотреть прагматично, то KelpDAO был взломан на 292 миллиона, из которых удалось вернуть чуть более 70 миллионов — менее четверти. Остаток ETH разбросан по другим цепочкам, на Aave есть более чем 1 миллиард долларов в плохих долгах, и сколько сможет вернуть держатель rsETH — пока неизвестно.

Даже при использовании полномочий «богоподобных» в Arbitrum эта битва явно еще не завершена.