Arbitrum giả làm hacker, 'đánh cắp' lại số tiền bị mất của KelpDAO
Tóm tắt: Tuần trước, KelpDAO bị hacker đánh cắp gần 300 triệu USD, trở thành sự cố bảo mật lớn nhất trong DeFi năm nay. Khoảng 30.765 ETH (trị giá hơn 70 triệu USD) bị mắc kẹt trên Arbitrum. Thay vì để số tiền này rơi vào tay hacker, Hội đồng Bảo mật Arbitrum đã thực hiện một hành động chưa từng có tiền lệ.
Bằng cách nâng cấp khẩn cấp hợp đồng cầu nối Inbox, hội đồng đã thêm một hàm mới cho phép họ giả mạo một thông điệp giao dịch từ chính địa chỉ của hacker mà không cần khóa riêng tư, từ đó chuyển toàn bộ số ETH sang một địa chỉ đóng băng để bảo toàn. Toàn bộ quá trình nâng cấp, thực thi và khôi phục hợp đồng diễn ra trong một giao dịch duy nhất, không ảnh hưởng đến người dùng khác.
Động thái này được thực hiện sau khi xác nhận danh tính hacker thuộc Lazarus Group (Triều Tiên) và đánh giá kỹ thuật cẩn trọng. Cộng đồng phản ứng trái chiều: một bên khen ngợi kết quả tích cực, bên khác lo ngại về tính phi tập trung khi chỉ cần 9/12 thành viên hội đồng ký là có thể can thiệp quyền lực như vậy.
Dù kết quả tốt, đây là một năng lực trung lập và việc sử dụng nó trong tương lai phụ thuộc vào quản trị. Sự việc cũng cho thấy cuộc chiến bảo mật DeFi đang leo thang, với các hacker cấp nhà nước và các L2 phản công bằng quyền lực sâu. Số ETH thu hồi được chỉ là một phần, cuộc chiến vẫn chưa kết thúc.
marsbit04/21 08:01