Arbitrum finge ser hacker e 'rouba' de volta dinheiro perdido pelo KelpDAO

Título original: "Arbitrum finge ser um hacker e recupera fundos roubados para o KelpDAO"

Na semana passada, o KelpDAO foi hackeado, perdendo quase 300 milhões de dólares, marcando o maior incidente de segurança DeFi do ano até agora.

O ETH roubado está agora espalhado por várias cadeias, com cerca de 30.765 restantes num endereço na cadeia Arbitrum, avaliado em mais de 70 milhões de dólares.

Just when everyone thought the story had concluded, a new episode unfolded today.

De acordo com a empresa de segurança on-chain PeckShield, os fundos no endereço do hacker na cadeia Arbitrum foram transferidos há algumas horas, mas, estranhamente, esses fundos foram enviados para um endereço que parece ser maioritariamente zeros, como 0x00000...

Nesse momento, todos estavam a especular: O hacker queimou os fundos num endereço de buraco negro? Ou eles mudaram de ideias ou aceitaram um suborno?

Nem.

Há algumas horas, um aviso de ação de emergência foi publicado no fórum oficial do Arbitrum, explicando a situação. Os fundos do hacker foram transferidos pelo Conselho de Segurança do Arbitrum.

Curiosamente, sem conhecer a chave privada do endereço do hacker, o Conselho Arbitral nem congelou os fundos do hacker nem tinha autoridade para transferi-los; em vez disso, eles emitiram diretamente uma instrução de transferência "em nome do hacker".

O próprio hacker desconhecia a situação, a chave privada não foi comprometida e os registos na cadeia aparecem como se o hacker tivesse efetuado a operação.

O princípio por trás desta operação é que todas as mensagens entre cadeias entre Arbitrum e Ethereum passam por um contrato de ponte chamado Inbox. O Conselho de Segurança usou poderes de emergência para atualizar temporariamente este contrato, adicionando uma nova função:

Para enviar uma transação entre cadeias em nome de qualquer endereço de carteira sem exigir a chave privada dessa carteira.

Eles então usaram essa função para forjar uma mensagem, com o endereço do remetente sendo a carteira do hacker e o conteúdo afirmando: “Transfira todo o meu ETH para o endereço congelado.” Quando a cadeia Arbitrum a recebeu, ocorreu a cena estranha capturada na captura de tela da transferência na cadeia.

Após a transferência dos fundos do hacker, o contrato autodestruíu-se imediatamente, voltando ao seu estado original. A atualização, a falsificação, a transferência e a recuperação foram todas agrupadas numa única transação Ethereum. Outros utilizadores e aplicações não foram afetados de forma alguma.

Esta operação não tem precedentes na história da Arbitrum.

De acordo com um anúncio no fórum, o Conselho de Segurança confirmou previamente a identidade do hacker com as autoridades policiais, apontando para o grupo norte-coreano Lazarus, a organização de hackers a nível estatal mais ativa no espaço DeFi este ano. O conselho realizou uma avaliação técnica, garantindo que não houvesse impacto em outros utilizadores antes de tomar medidas.

Uma vez que o hacker agiu maliciosamente primeiro, esta ação assemelha-se a uma situação de "não há honra entre ladrões". Quanto à forma de lidar com o ETH congelado no futuro, isso será decidido através de uma votação no processo de governança da DAO do Arbitrum, em coordenação com as autoridades policiais.

Ser capaz de recuperar mais de 70 milhões de dólares em fundos roubados é certamente um resultado positivo. No entanto, vale a pena notar a condição prévia para alcançar isso: entre os 12 membros do Conselho de Segurança, 9 assinaturas são suficientes para contornar qualquer votação de governança e atualizar sem problemas qualquer contrato principal na cadeia.

Aplaudindo o resultado, Preocupações com a autoridade?

Atualmente, a resposta da comunidade a este incidente está bastante dividida.

Alguns consideram as ações da Arbitrum louváveis, protegendo ativos num momento crítico e até reforçando a confiança na L2. Outros colocam uma questão direta: se 9 assinaturas podem mover quaisquer ativos em nome de qualquer pessoa, isso ainda se qualifica como descentralização?

Do ponto de vista do autor, ambos os lados não estão realmente a discutir a mesma coisa.

O primeiro fala sobre o resultado, enquanto o último discute a autoridade. O resultado deste incidente é, sem dúvida, positivo, com mais de 70 milhões de dólares em fundos roubados recuperados. No entanto, a capacidade demonstrada pelo Arbitrum desta vez com a função de contrato de várias assinaturas é neutra em si mesma; como será usada no futuro, o que pode fazer e como pode ser feito realmente dependem da governança do comité.

No entanto, para a maioria dos utilizadores do Arbitrum, esta discussão pode não ser tão prática sem outro facto. O Arbitrum não é único neste aspeto, pois a maioria das soluções L2 convencionais atualmente retêm capacidades semelhantes de atualização de emergência.

A cadeia que está a utilizar provavelmente também tem um Conselho de Segurança semelhante com capacidades semelhantes. Esta não é uma escolha única para o Arbitrum. Neste momento, a maioria das soluções L2 tem este design comum.

Olhando para isso de uma perspetiva diferente, este ataque e defesa revelaram na verdade uma imagem maior.

O atacante foi o Grupo Lazarus da Coreia do Norte, que foi atribuído a pelo menos 18 ataques DeFi este ano. Há apenas três semanas, roubaram 285 milhões de dólares do Drift Protocol usando um método completamente diferente.

Por um lado, os hackers a nível estatal estão a atualizar continuamente os seus métodos de ataque, enquanto, por outro lado, a L2 está a começar a usar permissões subjacentes para contra-atacar. A batalha de segurança em DeFi está a passar de "congelamento pós-ataque, anúncios na cadeia, rezando por intervenção de whitehat" para uma nova fase.

Numa jogada muito extraordinária, foi criada uma chave universal para desbloquear o endereço do hacker e, após a tarefa estar concluída, a chave foi destruída. Só com base neste incidente, a capacidade de resistir a ataques de hackers não é má.

E se tivermos de elevar a questão a uma discussão filosófica de "isto não é de todo descentralizado", então há muito o que discutir. Existem inúmeras operações centralizadas na indústria das criptomoedas, mas desta vez, pelo menos, o foco esteve em lidar com o evento negativo e resolver o problema, em vez de causar um evento negativo.

Retornando a uma visão mais pragmática, KelpDAO teve $292 milhões roubados, apenas mais de $70 milhões foram recuperados, o que é menos de um quarto do total. O ETH restante ainda está disperso por outras cadeias, mais de 100 milhões de dólares em dívidas más na Aave ainda não foram resolvidas e o montante que os detentores de rsETH recuperarão ainda é desconhecido.

Embora o Arbitrum tenha invocado a sua permissão de modo Deus, é claro que a batalha está longe de terminar.

Link do Artigo Original