Penulis: Deep Tide TechFlow
Minggu lalu KelpDAO dicuri hampir 3 juta dolar oleh peretas, menjadi insiden keamanan DeFi terburuk tahun ini sejauh ini.
ETH yang dicuri sekarang tersebar di berbagai blockchain, dengan sekitar 30.765 ETH tertinggal di satu alamat di blockchain Arbitrum, senilai lebih dari 70 juta dolar.
Kisah ini awalnya dikira sudah selesai, hari ini ada kelanjutannya.
Menurut pemantauan lembaga keamanan on-chain PeckShield, dana di alamat peretas di chain Arbitrum telah ditransfer beberapa jam yang lalu, tetapi anehnya dana tersebut ditransfer ke alamat aneh yang hampir seluruhnya berisi angka nol, 0x00000...
Semua orang saat itu menebak-nebak, apakah peretas sendiri membakar uangnya di alamat black hole? Atau sadar atau direkrut?
Bukan.
Beberapa jam yang lalu, forum resmi Arbitrum memposting pengumuman aksi darurat yang menjelaskan situasinya. Uang peretas, dipindahkan oleh Dewan Keamanan Arbitrum.
Namun yang ajaib adalah, tanpa mengetahui private key alamat peretas, Dewan Arbitrum tidak membekukan uang peretas, juga tidak memiliki izin untuk transfer, tetapi langsung mengirimkan instruksi transfer "atas nama peretas".
Peretas sendiri tidak tahu, private key tidak bocor, catatan on-chain terlihat seperti operasi yang dilakukan peretas sendiri.
Prinsip yang memungkinkan operasi ini adalah, semua pesan cross-chain antara Arbitrum dan Ethereum harus melalui kontrak bridge yang disebut Inbox. Dewan Keamanan menggunakan izin darurat untuk sementara meningkatkan kontrak ini, menambahkan fungsi baru:
Mengirim transaksi cross-chain atas nama alamat dompet mana pun, tetapi tanpa memerlukan private key dompet tersebut.
Kemudian mereka menggunakan fungsi ini untuk memalsukan sebuah pesan, pengirimnya ditulis sebagai dompet peretas, isinya adalah "transfer semua ETH saya ke alamat beku". Chain Arbitrum menerima dan menjalankannya seperti biasa, sehingga muncullah pemandangan aneh pada screenshot transfer on-chain di atas.
Setelah mentransfer uang peretas, kontrak ini segera diturunkan kembali ke versi asli. Peningkatan, pemalsuan, transfer, pemulihan, semua diselesaikan dalam satu transaksi Ethereum. Pengguna dan aplikasi lain sama sekali tidak terpengaruh.
Operasi ini tidak memiliki preseden dalam sejarah Arbitrum.
Menurut pengumuman forum, Dewan Keamanan sebelumnya mengonfirmasi identitas peretas dengan departemen penegak hukum, menunjuk ke Lazarus Group dari Korea Utara, kelompok peretas tingkat negara paling aktif di bidang DeFi tahun ini. Dewan melakukan penilaian teknis, memastikan tidak mempengaruhi pengguna lain sebelum bertindak.
Karena peretas berbuat salah terlebih dahulu, trik ini agak "jangan salahkan semua orang karena tidak mengikuti aturan". Mengenai penanganan ETH yang dibekukan selanjutnya, harus melalui pemungutan suara治理 DAO Arbitrum dan dikoordinasikan dengan departemen penegak hukum.
Tentu saja hal yang baik bisa mendapatkan kembali lebih dari 70 juta dana yang dicuri. Tetapi prasyarat untuk melakukan hal ini patut diperhatikan, 9 dari 12 anggota Dewan Keamanan yang menandatangani, dapat melewati semua pemungutan suara治理, meningkatkan nol penundaan ke kontrak inti mana pun di chain.
Memuji hasilnya, mengkhawatirkan kemampuannya?
Saat ini, reaksi komunitas terhadap hal ini terbelah.
Sebagian orang merasa Arbitrum melakukan dengan baik, melindungi aset pada saat-saat penting, menambah sedikit kepercayaan pada L2. Sebagian lain mengajukan pertanyaan yang sangat langsung: jika 9 orang yang menandatangani dapat menggerakkan aset apa pun atas nama siapa pun, apakah ini masih disebut terdesentralisasi.
Penulis berpendapat, kedua belah pihak sebenarnya tidak membicarakan hal yang sama.
Yang pertama berbicara tentang hasil, yang kedua berbicara tentang kemampuan. Hasil dari peristiwa ini pasti baik, lebih dari 70 juta dana curian dikembalikan. Tetapi kemampuan multi-tanda mengubah fungsi kontrak yang ditunjukkan Arbitrum kali ini sendiri netral; kali ini digunakan untuk mengejar peretas, untuk apa di masa depan, apakah bisa dilakukan, bagaimana melakukannya, sebenarnya semua tergantung pada治理 dewan.
Namun, bagi kebanyakan orang yang menggunakan Arbitrum, diskusi ini mungkin tidak lebih nyata daripada fakta lain. Arbitrum tidak istimewa, hampir semua L2 mainstream saat ini mempertahankan izin peningkatan darurat serupa.
Chain yang Anda gunakan kemungkinan besar juga memiliki Dewan Keamanan serupa, memiliki kemampuan serupa. Ini bukan pilihan unik Arbitrum lagi, L2 pada tahap ini hampir semuanya memiliki desain umum ini.
Dilihat dari sudut lain, pertahanan dan serangan ini sebenarnya mengungkapkan gambaran yang lebih besar.
Pihak penyerang adalah Lazarus Group dari Korea Utara, yang sejak tahun ini dikaitkan dengan setidaknya 18 serangan DeFi. Tiga minggu yang lalu baru mencuri 2,85 juta dolar dari Drift Protocol, menggunakan metode yang sama sekali berbeda.
Di satu sisi, peretas tingkat negara terus meningkatkan metode serangan, di sisi lain L2 mulai menggunakan izin底层 untuk melawan. Perang keamanan DeFi sedang memasuki tahap baru dari "pembekuan setelah kejadian, seruan on-chain, berdoa untuk intervensi topi putih".
Pada masa yang sangat khusus membuat kunci master universal untuk membuka alamat peretas, setelah selesai melebur kuncinya. Hanya dari hal ini, memiliki kemampuan untuk menanggapi serangan peretas, tidak buruk.
Dan jika harus mengangkat hal ini ke diskusi filosofis "ini sama sekali tidak terdesentralisasi", maka ada terlalu banyak hal yang bisa dikatakan. Berbagai operasi terpusat industri kripto tidak sedikit, kali ini setidaknya menangani peristiwa negatif dan menyelesaikan masalah, bukan membuat peristiwa negatif.
Melihat kembali lebih务实, yang dicuri KelpDAO adalah 292 juta, yang dikembalikan adalah lebih dari 70 juta, kurang dari seperempat dari total. ETH sisanya masih tersebar di chain lain, pinjaman macet lebih dari 100 juta dolar di Aave masih belum jelas, pemegang rsETH dapat mengambil kembali berapa masih belum diketahui.
Bahkan setelah Arbitrum menggunakan izin Tuhan, pertempuran ini jelas jauh dari selesai.
