Arbitrum تظاهر بأنه هاكر واستعاد الأموال التي خسرتها KelpDAO "سرقها" مرة أخرى

المؤلف: شينتشاو TechFlow

في الأسبوع الماضي، سرق هاكرز من KelpDAO ما يقرب من 300 مليون دولار، ليصبح أكبر حادث أمني سلبي في مجال التمويل اللامركزي حتى الآن هذا العام.

الـ ETH المسروقة الآن موزعة عبر عدة سلاسل، منها حوالي 30765 وحدة بقيت في عنوان واحد على شبكة Arbitrum، بقيمة تزيد على 70 مليون دولار.

كان من المفترض أن تكون هذه القصة قد انتهت، لكن اليوم ظهرت جزء جديد.

وفقًا لمراقبة وكالة الأمن على السلسلة PeckShield، الأموال الموجودة في عنوان الهاكر على شبكة Arbitrum قد تم تحويلها قبل عدة ساعات، ولكن الغريب أن هذه الأموال نُقلت إلى عنوان غريب يبدو أنه مليء بالصفر @0x00000…@.

الجميع كان يتوقع أن الهاكر نفسه وضع الأموال في عنوان الثقب الأسود وأحرقها؟ أم أن ضميره استيقظ أو تم التفاوض معه؟

ليس الأمر كذلك.

قبل عدة ساعات، نشرت منتدى Arbitrum بيانًا طارئًا يوضح الوضع. أموال الهاكر تم نقلها بواسطة مجلس الأمن الخاص بـ Arbitrum.

لكن المثير للدهشة هو أنه، دون معرفة المفتاح الخاص لعنوان الهاكر، لم يقم مجلس الأمن بتجميد أموال الهاكر، ولم يكن لديه صلاحية لنقلها، بل أرسل أمر تحويل “نيابة عن الهاكر” مباشرة.

الهاكر نفسه لم يكن على علم بذلك، ولم يتم تسريب المفتاح الخاص، وتبدو سجلات السلسلة وكأنها عملية قام بها الهاكر بنفسه.

والآلية التي تم من خلالها ذلك هي أن جميع رسائل العبور بين Arbitrum وإيثريوم تمر عبر عقد الجسر المسمى Inbox. قام مجلس الأمن باستخدام صلاحيات الطوارئ لترقية هذا العقد مؤقتًا، وأضاف وظيفة جديدة:

إرسال معاملات عبر السلسلة باسم أي عنوان محفظة، دون الحاجة للمفتاح الخاص لذلك المحفظة.

ثم استخدموا هذه الوظيفة لخلق رسالة مزورة، حيث أن المرسل هو عنوان الهاكر، والمحتوى هو “نقل كل ETH الخاص بي إلى عنوان التجميد”. عند استلام شبكة Arbitrum، تم تنفيذ الأمر كالمعتاد، ونتج عن ذلك المشهد الغريب في لقطة التحويل على السلسلة.

بعد أن أنقلوا أموال الهاكر، قام هذا العقد فورًا بالرجوع إلى الإصدار الأصلي. الترقية، التزوير، التحويل، والاستعادة كلها تمت في معاملة واحدة على إيثريوم. المستخدمون والتطبيقات الأخرى لم يتأثروا على الإطلاق.

هذه العملية لم تحدث من قبل في تاريخ Arbitrum.

وفقًا لإعلان المنتدى، قام مجلس الأمن بمراجعة تقنية مع الجهات القانونية مسبقًا، وتأكد من هوية الهاكر، والتي تشير إلى مجموعة Lazarus الكورية الشمالية، وهي أكثر مجموعات الهاكرز نشاطًا على مستوى الدولة في مجال DeFi هذا العام. وبعد تقييم تقني لضمان عدم تأثير ذلك على المستخدمين الآخرين، قاموا بتنفيذ العملية.

نظرًا لأن الهاكر قام بأفعال غير صحيحة مسبقًا، فإن هذه الخطوة تحمل نوعًا من “لا تلوموا الجميع على عدم الالتزام بالأخلاق”. أما بالنسبة لكيفية التعامل مع ETH المجمد لاحقًا، فسيتم التصويت على ذلك عبر حوكمة DAO الخاصة بـ Arbitrum، بالتنسيق مع الجهات القانونية.

استرداد أكثر من 70 مليون دولار من الأموال المسروقة هو أمر جيد، لكن من المهم ملاحظة أن الشرط الأساسي هو أن 9 من أعضاء مجلس الأمن المكون من 12 شخصًا يمكنهم التوقيع، مما يسمح لهم بتجاوز جميع عمليات الحوكمة، وترقية أي عقد مركزي على السلسلة بدون تأخير.

هل نمدح النتيجة، أم نخشا من القدرات؟

حتى الآن، رد فعل المجتمع على هذا الأمر متباين.

فبعضهم يرى أن Arbitrum قامت بعمل رائع، حيث حمت الأصول في اللحظة الحاسمة، مما زاد من ثقة المستخدمين في Layer 2. في حين أن آخرين يطرحون سؤالًا مباشرًا: إذا كان 9 أشخاص يمكنهم التوقيع وتحريك أي أصول باسم أي شخص، فهل لا يزال هذا لامركزيًا؟

برأيي، الحديثان لا يتحدثان عن نفس الأمر.

الأول يتحدث عن النتيجة، والثاني عن القدرة. النتيجة جيدة بالتأكيد، حيث تم استرداد أكثر من 70 مليون دولار. لكن القدرة على تعديل عقد متعدد التواقيع باستخدام وظيفة الترقية الطارئة هي قدرة محايدة؛ كيف ومتى تُستخدم، وما يمكن أن تفعله، يعتمد في النهاية على حوكمة المجلس.

لكن، بالنسبة لمعظم مستخدمي Arbitrum، قد يكون النقاش غير مهم مقارنة بالواقع. فـ Arbitrum ليست فريدة من نوعها، فمعظم Layer 2 الحالية تحتفظ بصلاحيات ترقية طارئة مماثلة.

وعلى الأرجح، أن شبكتك التي تستخدمها لديها مجلس أمن مشابه، يمتلك صلاحية مماثلة. إذن، ليست هذه ميزة حصرية لـ Arbitrum، فتصميم القدرة على الترقية الطارئة هو تصميم عام في معظم Layer 2 في الوقت الحالي.

من زاوية أخرى، تكشف هذه الحادثة عن صورة أكبر.

المهاجمون هم مجموعة Lazarus الكورية الشمالية، والتي تم نسبها إلى ما لا يقل عن 18 هجومًا على DeFi هذا العام. قبل ثلاثة أسابيع، سرقوا 285 مليون دولار من Drift Protocol، باستخدام أساليب مختلفة تمامًا.

فمن جهة، هناك هجمات من قبل مجموعات هكر على مستوى الدولة تتطور باستمرار، ومن جهة أخرى، بدأت Layer 2 تستخدم صلاحيات أسفلية للرد. أمن DeFi يدخل مرحلة جديدة، من “الإيقاف بعد الحادث، والتواصل على السلسلة، والأمل في تدخل الهاكرز الأخلاقيين” إلى مرحلة أكثر تطورًا.

باستخدام مفتاح عام يمكنه فتح عنوان الهاكر، ثم إغلاقه بعد ذلك. من ناحية، القدرة على التصدي للهجمات ليست سيئة.

وإذا أردنا أن نرتقي بالمناقشة إلى مستوى فلسفي حول “عدم مركزية هذا الأمر”، فهناك الكثير لنقوله. فالصناعة المشفرة تتسم بالعديد من العمليات المركزية، وهذه الحالة على الأقل تتعلق بمعالجة حدث سلبي وحله، وليس بخلق أحداث سلبية.

وبنظرة عملية، فإن سرقة KelpDAO كانت 292 مليون دولار، وتم استرداد أكثر من 70 مليون، وهو أقل من ربع المبلغ الإجمالي. الأموال المتبقية لا تزال موزعة على سلاسل أخرى، وهناك ديون سيئة تزيد على مليار دولار على Aave لم يتم تسويتها بعد، ومالكو rsETH لا يعرفون حتى الآن كم يمكنهم استرداده.

حتى مع استخدام Arbitrum لصلاحيات إلهية، فإن المعركة لم تنته بعد.