Arbitrum выдает себя за хакера и «возвращает» деньги, утраченные KelpDAO

Оригинальное название: «Arbitrum выступил в роли хакера и вернул похищенные средства для KelpDAO»

На прошлой неделе проект KelpDAO подвергся хакерской атаке, в результате которой было похищено почти 300 миллионов долларов; это стало крупнейшим инцидентом в сфере безопасности DeFi в этом году.

Украденные ETH в настоящее время распределены по нескольким блокчейнам, при этом около 30 765 ETH остаются на адресе в сети Arbitrum, их стоимость превышает 70 миллионов долларов.

Как раз когда все думали, что история подошла к концу, сегодня развернулся новый поворот событий.

По данным компании PeckShield, занимающейся обеспечением безопасности блокчейнов, средства с адреса хакера в сети Arbitrum были выведены несколько часов назад, но, что странно, они были отправлены на адрес, состоящий в основном из нулей, например 0x00000...

В то время все строили догадки: Хакер сжег ли средства на адресе «черной дыры»? Или же они передумали, или же взяли взятку?

Ни то, ни другое.

Несколько часов назад на официальном форуме Arbitrum было опубликовано сообщение о принятии экстренных мер с объяснением сложившейся ситуации. Средства хакера были переведены Советом по безопасности Arbitrum.

Интересно, что, не зная закрытого ключа адреса хакера, Совет Arbitrum не только не заблокировал средства хакера, но и не имел полномочий на их перевод; вместо этого он напрямую отдал распоряжение о переводе «от имени хакера».

Сам хакер об этом не знал, закрытый ключ не был скомпрометирован, а записи в цепочке блоков выглядят так, будто операцию провел именно хакер.

Принцип работы заключается в том, что все межсетевые сообщения между Arbitrum и Ethereum проходят через мостовой контракт под названием Inbox. Совет Безопасности воспользовался чрезвычайными полномочиями, чтобы временно расширить этот контракт, добавив в него новую функцию:

Отправить межсетевую транзакцию от имени любого адреса кошелька без необходимости использования его закрытого ключа.

Затем они использовали эту функцию для подделки сообщения, в котором в качестве адреса отправителя был указан кошелек хакера, а в тексте сообщения было написано: «Переведите весь мой ETH на заблокированный адрес». Когда цепочка Arbitrum получила это, произошла странная ситуация, запечатленная на скриншоте транзакции в блокчейне.

После перевода средств хакеру контракт немедленно самоуничтожился, вернувшись в исходное состояние. Обновление, подделка, перевод и восстановление были объединены в одну транзакцию Ethereum. Это никак не повлияло на других пользователей и приложения.

Эта операция не имеет прецедентов в истории Arbitrum.

Согласно сообщению на форуме, Совет безопасности заранее подтвердил личность хакера совместно с правоохранительными органами, указав на северокорейскую группировку «Lazarus» — наиболее активную в этом году хакерскую организацию государственного уровня в сфере DeFi. Перед принятием мер совет провёл техническую оценку, убедившись в отсутствии каких-либо последствий для других пользователей.

Поскольку хакер первым проявил злонамеренность, этот шаг в некотором роде напоминает ситуацию, когда «среди воров нет чести». Что касается дальнейшей судьбы замороженных ETH, этот вопрос будет вынесен на голосование в рамках процесса управления DAO Arbitrum в сотрудничестве с правоохранительными органами.

Возвращение более 70 миллионов долларов похищенных средств, безусловно, является положительным результатом. Однако стоит отметить одно важное условие для достижения этой цели: из 12 членов Совета Безопасности достаточно 9 подписей, чтобы обойти любое голосование по вопросам управления и беспрепятственно обновить любой основной контракт в цепочке.

Приветствуя этот результат, беспокоитесь о власти?

В настоящее время мнения в обществе по поводу этого инцидента весьма разделились.

Некоторые считают действия Arbitrum достойными похвалы: компания защитила активы в критический момент и даже укрепила доверие к L2. Другие задают прямой вопрос: если для перемещения любых активов на имя любого лица достаточно 9 подписей, можно ли это по-прежнему считать децентрализацией?

С точки зрения автора, обе стороны на самом деле обсуждают не одно и то же.

В первом случае речь идет о результате, а во втором — о полномочиях. Итог этого инцидента, несомненно, можно считать положительным: удалось вернуть более 70 миллионов долларов похищенных средств. Однако возможности, продемонстрированные Arbitrum на этот раз с помощью функции контрактов с мультиподписью, сами по себе носят нейтральный характер; то, как они будут использоваться в будущем, что они позволяют сделать и как это можно реализовать, фактически зависит от системы управления комитета.

Однако для большинства пользователей Arbitrum эта дискуссия может оказаться не столь актуальной без учета еще одного факта. Arbitrum не является единственным в этом отношении, поскольку большинство популярных решений второго уровня (L2) в настоящее время обладают аналогичными возможностями по экстренному обновлению.

Скорее всего, в той сети, которой вы пользуетесь, также есть аналогичный Совет безопасности с похожими функциями. Это не единственный вариант для Arbitrum. На данном этапе большинство решений L2 имеют такую общую архитектуру.

Если посмотреть на это с другой стороны, то эта борьба между атакой и защитой на самом деле раскрыла более общую картину.

Нападение совершила северокорейская группировка Lazarus, на счету которой в этом году числятся как минимум 18 атак на DeFi-проекты. Всего три недели назад они похитили 285 миллионов долларов из протокола Drift Protocol, применив совершенно иной метод.

С одной стороны, хакеры, действующие на государственном уровне, постоянно совершенствуют свои методы атак, а с другой — L2 начинает использовать базовые права доступа для противодействия. Борьба за безопасность в сфере DeFi переходит от подхода «замораживание средств после атаки, объявления в блокчейне и надежда на вмешательство хакеров-белых шапок» к новому этапу.

В рамках совершенно необычной меры был создан универсальный ключ для разблокировки адреса хакера, и после завершения задачи этот ключ был уничтожен. Если судить только по этому инциденту, способность противостоять хакерским атакам неплохая.

А если уж нам придется поднять этот вопрос до уровня философского обсуждения на тему «это вовсе не децентрализация», то тут есть о чем поговорить. В криптовалютной отрасли существует множество централизованных операций, но на этот раз, по крайней мере, основное внимание уделялось не созданию негативных последствий, а ликвидации последствий и решению проблемы.

Если же вернуться к более прагматичной точке зрения, то из KelpDAO было похищено 292 миллиона долларов, при этом удалось вернуть лишь чуть более 70 миллионов, что составляет менее четверти от общей суммы. Остальные ETH по-прежнему разбросаны по другим блокчейнам, проблема с просроченной задолженностью на Aave на сумму более 100 миллионов долларов до сих пор не решена, а сумма, которую смогут вернуть себе держатели rsETH, пока неизвестна.

Несмотря на то, что Arbitrum воспользовался своим правом «режима бога», очевидно, что битва еще далека от завершения.

Ссылка на исходную статью