غير مسبوق! 12 أشخاص ضغطوا على زر الإيقاف المؤقت، تم كشف الستار عن "اللامركزية" لـ $ETH L2، هل أصولك آمنة؟

قبل بضعة أيام، تم سرقة 290 مليون دولار من Kelp DAO، مما جعله أكبر عملية سرقة في عالم التشفير هذا العام. يُعتقد أن المهاجمين هم مجموعة لازاروس الكورية الشمالية.

في اليوم التالي للحادثة، قام مجموعة مكونة من 12 شخصًا بتعديل سلسلة كتل Arbitrum مباشرة، وفرضت تجميدًا على ما يعادل 71 مليون دولار من عملة $ETH. وصرحت السلطات أن هذا كان “إجراء طارئ من قبل لجنة الأمان”، استجابة لمعلومات من جهات إنفاذ القانون حول هوية المهاجمين.

الواقع التقني هو: أن توقيع 9 أشخاص فقط يكفي، دون موافقة مالك الحساب، لتعديل رصيد حساب على سلسلة طبقة ثانية يُقال عنها “لا مركزية”.

تم بسرعة تحويل rsETH المسروقة إلى $ETH. وتغير رصيد محفظة المهاجم على النحو التالي: بلغ الذروة حوالي 260 مليون دولار في 19 أبريل، وانخفض إلى 240 مليون في 20 أبريل، وبلغ حوالي 175 مليون دولار في 21 أبريل. حتى وقت التحليل، تم تأكيد تجميد 71 مليون دولار علنًا، وهو ما يمثل حوالي 25% من الإجمالي؛ لا يزال المهاجم يسيطر على حوالي 175 مليون دولار، بنسبة 60%; والباقي غير معروف وجهته.

على شبكة إيثريوم الرئيسية، لا يمكن لأي لجنة تجميد عنوان. لكن في Arbitrum، تمتلك اللجنة هذا الحق وتستخدمه.

هذه اللجنة تم اختيارها بواسطة حوكمة DAO الخاصة بـ Arbitrum، وتتكون من 12 عضوًا، ويجب أن يوافق 9 منهم على أي إجراء، ويتم تبديل الأعضاء كل ستة أشهر. لديهم صلاحية مباشرة على جميع عقود النظام.

عادةً، تستغرق عملية التحديث الطبيعي حوالي 13 يومًا للإعلان. أما عملية لجنة الأمان فهي: 9 توقيعات، تنفيذ فوري، بدون تأخير. وتوضح الوثائق أنهم يمكنهم الوصول مباشرة إلى جميع الصلاحيات، بدون قفل زمني، وبدون حاجة للتصويت.

العملية الفعلية لم تتم مباشرة على Arbitrum. بل بدأها أعضاء اللجنة عبر استدعاء من إيثريوم، وقاموا مؤقتًا بتعديل الكود الأساسي لمعالجة الرسائل عبر السلسلة في Arbitrum. النسخة المعدلة تجاوزت التحقق من التوقيع، مما سمح للمشغلين بتحديد عنوان الإرسال بحرية.

قاموا بتزوير توقيع المهاجم، وأطلقوا عملية تحويل “من المهاجم إلى محفظة الاسترداد”، مستغلين وظيفة داخلية تسمح بتنفيذ معاملات بدون التحقق من التوقيع. وتم نقل 30,766 من عملة $ETH. ثم تم استعادة الكود المعدل على الفور.

خلال العملية، لم يُستخدم المفتاح الخاص للمهاجم أبدًا. فقط قاموا بتغيير القواعد مؤقتًا، وزوروا عملية تحويل بتوقيع مكافئ، ثم أعادوا القواعد إلى وضعها الأصلي. هذه صلاحية قابلة لإعادة الاستخدام، ولم يتم التراجع عن التاريخ على السلسلة.

استرداد أموال المستخدمين هو عمل من العدالة، والجنة هي أن اللجنة تعمل وفق التصميم. لكن السؤال الأساسي هو: من يستطيع في المرة القادمة أن يمنع إساءة استخدام هذه السلطة؟

عند مواجهة ضغوط جيوسياسية، ومتطلبات تنظيم صارمة، أو سرية أمنية وطنية، أو أوامر قضائية، كل ما يلزم هو 9 توقيعات. ويمكن أن يُرغم أحد أعضاء اللجنة من خلال تهديد عائلته، أو جمع 8 توقيعات أخرى.

الأداة التي يمكنها استرداد 71 مليون دولار مسروقة، يمكنها أيضًا مصادرة 71 مليون دولار من نزاعات أخرى. الأدوات ليست خيرًا أو شرًا. الحاجز الوحيد بين أصول المستخدمين والمصادرة هو أخلاقية الأعضاء الاثني عشر، وسلامتهم الشخصية، والمخاطر القانونية. لم نعد نثق في الرياضيات أو الكود، بل في 12 شخصًا عاديًا.

هذه ليست مشكلة حصرية في Arbitrum. كل من $OP، وBase، وPolygon zkEVM، وzkSync Era، وStarkNet، وScroll، وLinea، كلهم لديهم لجنة يمكنها تجميد الأموال، بزعم أنها “طبقة ثانية لتمديد إيثريوم لا مركزية”.

أما الشبكة الرئيسية L1، فهي غير قادرة على التجميد من حيث الهيكل، لأنها لا تملك مُرتّبًا، ولا مفتاح مسؤول. ولا يمكن لأي Layer2 أن يفعل ذلك. يزعم نظام L2 بأكمله أنه “ورث عدم الثقة من إيثريوم”، لكنه من الناحية الهيكلية لا يمكنه وراثتها حقًا.

جميع عمليات التجميع (Rollup)، في جوهرها، عبارة عن قاعدة بيانات عالية السرعة، وقناة سحب ببطء، ومجموعة من اللجان التي تملك المفاتيح.

إنشاء لجنة أمان هو توازن بين الواقع الهندسي: قد توجد ثغرات في دوائر الإثباتات الصفرية تتطلب إصلاحات عاجلة؛ وتاريخ أنظمة إثبات الاحتيال شهد مشاكل؛ وأعطال المُرتّب تتطلب تدخلًا بشريًا.

إذا أُجريت ترقيات إيثريوم البطيئة على أنظمة التشفير التجريبية، قد تتوقف عمليات Rollup قبل أن تنضج.

لكن الصناعة نادرًا ما تناقش هذا التوازن. ما تسمعه هو أن “الـ Rollup ورث أمان إيثريوم”. لكن الواقع هو: “الـ Rollup ورث أمان إيثريوم، إلا إذا تدخل هؤلاء الـ12 الذين يملكون مفاتيح المسؤول”.

تابعني: للحصول على تحليلات ورؤى فورية عن سوق التشفير! $ETH $BTC $ETH

$SOL مسابقة تداول WCTC تقسم 8 ملايين USDT #انتعاش البيتكوين