Arbitrum finge ser un hacker y "roba" de vuelta el dinero perdido por KelpDAO

Autor: Deep潮 TechFlow

La semana pasada, KelpDAO fue hackeado y le robaron casi 300 millones de dólares, convirtiéndose en el mayor incidente de seguridad negativo en DeFi hasta la fecha de este año.

El ETH robado ahora está disperso en varias cadenas, de los cuales aproximadamente 30,765 permanecen en una dirección en la cadena de Arbitrum, valorada en más de 70 millones de dólares.

Esta historia parecía haber terminado, pero hoy ha salido una secuela.

Según la monitorización de la agencia de seguridad en cadena PeckShield, el dinero en la dirección del hacker en la cadena de Arbitrum fue transferido hace unas horas, pero lo extraño es que ese dinero fue enviado a una dirección extraña que parece estar casi vacía, 0x00000… .

Todos estaban especulando en ese momento: ¿el hacker se autoincriminó y envió el dinero a una dirección de agujero negro para quemarlo? ¿O fue por conciencia o por ser sobornado?

Ninguna de las dos.

Hace unas horas, el foro oficial de Arbitrum publicó un aviso de acción urgente explicando la situación. El dinero del hacker fue transferido por el consejo de seguridad de Arbitrum.

Pero lo sorprendente es que, sin conocer la clave privada de la dirección del hacker, el consejo de Arbitrum ni congeló los fondos ni tuvo permiso para transferirlos, sino que envió directamente una orden de transferencia “en nombre del hacker”.

El propio hacker no estaba informado, la clave privada no fue comprometida, y los registros en cadena parecen indicar que fue una operación realizada por el propio hacker.

El principio que permite esto es que todos los mensajes entre Arbitrum y Ethereum deben pasar por un contrato puente llamado Inbox. El consejo de seguridad utilizó permisos de emergencia para actualizar temporalmente este contrato, añadiendo una nueva función:

Permitir enviar transacciones entre cadenas en nombre de cualquier dirección de cartera, sin necesidad de la clave privada de esa cartera.

Luego, usaron esta función para falsificar un mensaje, en el que el remitente era la cartera del hacker, con el contenido de “transferir todo mi ETH a una dirección de congelación”. Cuando la cadena de Arbitrum recibió esto, ejecutó la orden como de costumbre, lo que resultó en la escena extraña en la captura de pantalla de la transferencia en cadena.

Tras transferir los fondos del hacker, el contrato volvió inmediatamente a su versión original. La actualización, falsificación, transferencia y restauración se completaron en una sola transacción en Ethereum. Otros usuarios y aplicaciones no se vieron afectados.

Esta operación no tiene precedentes en la historia de Arbitrum.

Según el anuncio en el foro, el consejo de seguridad previamente confirmó la identidad del hacker con las autoridades, apuntando al grupo Lazarus de Corea del Norte, la organización de hackers a nivel estatal más activa en DeFi este año. Tras una evaluación técnica, aseguraron que no afectaría a otros usuarios antes de proceder.

Dado que la acción del hacker fue incorrecta desde el principio, esta medida tiene un tono de “no culpen a todos por no seguir la ética”. La gestión futura del ETH congelado dependerá de una votación de gobernanza en Arbitrum DAO y de la coordinación con las autoridades.

Recuperar más de 70 millones de dólares robados es, sin duda, positivo. Pero hay que tener en cuenta que, para lograr esto, el consejo de seguridad, compuesto por 12 miembros, solo necesita la firma de 9, lo que le permite saltarse todas las votaciones de gobernanza y actualizar cualquier contrato central en cadena sin demora.

¿Elogios por el resultado o preocupación por la capacidad?

Actualmente, la comunidad está muy dividida respecto a este asunto.

Un grupo piensa que Arbitrum hizo un trabajo excelente, protegiendo los activos en un momento crítico y fortaleciendo la confianza en L2. Otro grupo plantea una pregunta muy directa: si solo 9 personas pueden firmar para actuar en nombre de cualquier persona y mover cualquier activo, ¿esto todavía se puede considerar descentralizado?

Creo que ambos lados no están hablando de la misma cosa.

El primero se refiere al resultado, el segundo a la capacidad. El resultado de esta acción es claramente positivo: los más de 70 millones de dólares recuperados. Pero la capacidad de modificar funciones de contratos mediante firmas múltiples en Arbitrum en sí misma es neutral; cómo y para qué se use esa capacidad en el futuro, si se usará para perseguir hackers o para otros fines, depende en última instancia de la gobernanza del consejo.

Sin embargo, para la mayoría de los usuarios de Arbitrum, esta discusión puede no ser tan relevante como el hecho de que muchas cadenas principales de L2 actualmente conservan permisos de actualización de emergencia similares.

Probablemente, la cadena que usas también tenga un consejo de seguridad similar, con capacidades similares. Esto ya no es una característica exclusiva de Arbitrum; en esta etapa, casi todos los L2 comparten este diseño común.

Desde otra perspectiva, esta ofensiva y defensa en realidad revelan un panorama más amplio.

El atacante es el grupo Lazarus de Corea del Norte, que ha sido atribuido a al menos 18 ataques en DeFi este año. Hace tres semanas, robaron 285 millones de dólares en Drift Protocol, usando un método completamente diferente.

Por un lado, los hackers de nivel estatal están constantemente mejorando sus técnicas de ataque; por otro, los L2 comienzan a usar permisos de bajo nivel para contraatacar. La seguridad en DeFi está entrando en una nueva fase, dejando atrás las “congelaciones posteriores, llamadas en cadena y oraciones a los white hats”.

En tiempos de crisis, se ha creado una llave maestra que abre la dirección del hacker, y después se funde esa llave. Desde esta perspectiva, tener la capacidad de responder a ataques de hackers no es en absoluto una mala señal.

Y si se quiere elevar esto a una discusión filosófica sobre la “descentralización”, hay muchas cosas que decir. La centralización en la industria de las criptomonedas no es poca; al menos, en esta ocasión, se actuó para gestionar un evento negativo y resolver el problema, en lugar de crear uno.

En un análisis más pragmático, KelpDAO fue hackeado por 292 millones, y se recuperaron más de 70 millones, menos de una cuarta parte del total. El ETH restante todavía está disperso en otras cadenas, y las deudas incobrables en Aave superan los 100 millones de dólares, mientras que aún no se sabe cuánto podrán recuperar los poseedores de rsETH.

Incluso si Arbitrum usó permisos de dios, claramente la batalla aún no ha terminado.