أعضاء لجنة أربيتروم: لماذا قمنا بتمكين صلاحيات الإله لتجميد 72 مليون دولار؟

ترجمة | Deep潮 TechFlow

ضيف الشرف: Griff Green، عضو لجنة أمن Arbitrum

المقدم: Zack Guzma

رابط النص الأصلي:

مقدمة تحريرية

في الأيام القليلة الماضية، كان كل من إيثريوم وقطاع التشفير بأكمله يركز على حادثة هجوم على Kelp DAO (وهو بروتوكول إعادة الرهن السيولة) وتأثيره على Aave (منصة الإقراض اللامركزية).

استخدمت لجنة أمن Arbitrum صلاحيات الطوارئ، وقامت بتجميد واسترداد حوالي 72 مليون دولار من الأصول من عناوين يُشتبه في أنها تحت سيطرة قراصنة كوريين شماليين. هذه هي المرة الأولى في صناعة التشفير التي تستخدم فيها سلسلة L2 “صلاحيات إلهية” لتجميد أموال عنوان معين. وقبل هذه الحلقة من البودكاست، كانت هناك آراء متباينة في المجتمع، حيث كان النقاش يدور حول أن Arbitrum على الرغم من قيامه بعمل صحيح، إلا أن وجود قدرة على “نقل أصول عنوان معين” يثير الشكوك حول حدود قدراته ودرجة اللامركزية.

ضيف حلقة اليوم هو أحد أعضاء مجلس الأمن الذي يملك صلاحية اتخاذ هذا القرار في Arbitrum، Griff Green. كما أن Griff هو أحد شهود حادثة هجوم The DAO في 2016، وهو أحد الداعمين للانقسام الصلب لإيثريوم، وانتقد مباشرة خلال المقابلة Circle (مصدّر USDC) لعدم تحركها المستمر في حادثة القراصنة الكوريين الشماليين، وقارن ذلك مع تصرفات Tether التي قامت بتجميد الأصول بشكل نشط، معتبرًا أن منطق قرار Circle مدفوع فقط بالتقارير المالية.

اقتباسات مهمة

“عدم قابلية التغيير في blockchain” هو مفهوم خاطئ

“يعتقد الناس أن blockchain غير قابل للتغيير، لكن في الواقع، أساس عمل blockchain هو الإجماع الاجتماعي. إذا وافق الجميع على ترقية البروتوكول، يمكن تغيير القواعد. إيثريوم وبيتكوين كذلك.”

“لهذا السبب، يناقش بعض أعضاء مجتمع بيتكوين الآن تجميد رموز ساتوشي. هذا ممكن تقنيًا تمامًا، لأن blockchain في جوهره ليس غير قابل للتغيير بشكل مطلق، بل هو يخضع لقواعد.”

الركيزة الحقيقية لللامركزية هي سلوك السوق

“إذا لم يعجب الناس قرارنا، فسوف يبيعون الرموز. إذا قام شبكة بيتكوين بالتنسيق لسرقة أموال الناس، فإن الحائزين سيبيعون أيضًا. الأساس الحقيقي لللامركزية هو سلوك السوق، والديناميكيات السوقية تُقدّر بشكل كبير في هذه القضية.”

“بصراحة، لا أحد سيلومنا إذا لم نفعل شيئًا. عدم اتخاذ أي إجراء يحمل مخاطر قليلة جدًا، لذلك تحتاج إلى بعض روح المغامرة.”

نمط هجوم القراصنة الكوريين الشماليين

“كوريا الشمالية نادراً ما تقوم بهجمات على العقود الذكية. غالبًا، ليست الهجمات على الكود، بل على الأشخاص. يستخدمون الهندسة الاجتماعية للوصول إلى مفاتيح ذات صلاحيات خاصة، ويحصلون على وصول إلى أجهزة الكمبيوتر والمفاتيح.”

“لا أعلم لماذا وضعوا الأموال في عنوان معين لمدة يومين دون تحريكها. ربما كانوا يعملون لثلاثة أيام متتالية، ثم أخذوا يوم عطلة الأحد، وتأخروا يوم الاثنين. هذه هي نافذتنا.”

مقارنة بين Circle و Tether

“أقول كلمة واضحة: من الواضح أن لا أحد في Circle هو شخص جيد. لأنهم دائمًا يختارون عدم التحرك. أما Tether، فهي تواصل تجميد أموال كوريا الشمالية واسترداد مبالغ تفوق 70 مليون دولار.”

“أصل Circle ليس من البيئة الأصلية للعملات المشفرة، بل من غولدمان ساكس. لذلك، منطق قراراتهم هو: هل يظهر ذلك بشكل جيد في التقارير المالية؟ إذا كان تجميد أموال كوريا الشمالية يربحهم، فسوف يفعلون ذلك.”

المشكلة الأمنية أكبر عائق لتطبيق التشفير

“بمستوى التكنولوجيا الحالي، يمكننا تمامًا بناء شيء أكثر أمانًا من PayPal والبنوك. استيراد بنية تحتية من البنوك وPayPal، وإزالة طرف الحفظ، وإنشاء نسخة غير حافظة، والتقنية جاهزة.”

“لا أعرف أي شخص سرقت أمواله من حساب بنكي بعد عملية تصيد، لكنني أعرف الكثيرين الذين فقدوا عملاتهم الرقمية بعد التصيد.”

“لقد كنت أعمل من أجل المصلحة العامة، وأحاول بناء شيء أفضل من الحكومات، لكن المشكلة نفسها تظل عائقًا: هذه التقنية لا تزال غير آمنة للاستخدام العام.”

فتح صلاحيات إلهية

Zack Guzman: الكثير من الناس يراقبون تطورات الأمور، والنقاشات مستمرة. لنبدأ من هيكل لجنة أمن Arbitrum. أنت عضو في اللجنة، وذكرت في منشورك أن هذا قرار جدي جدًا. هل يمكنك شرح كيف تطورت الأحداث؟

Griff Green: تعرضت Kelp DAO للهجوم، والمسؤولية الأساسية سواء كانت على Kelp DAO أو LayerZero (بروتوكول الرسائل عبر السلاسل) لا تزال محل جدل، لكن التأثير امتد إلى Aave. كان هجوم على جسر عبر السلسلة، حيث سرق القراصنة حوالي 3 مليارات دولار من الرموز على Layer 2، ثم وضعوا الأموال في شبكة إيثريوم الرئيسية وAave على Arbitrum كضمانات لإقراض ETH.

بعد أن حصل القراصنة على ETH، وضعوها في محافظهم لعدة أيام دون تحريكها، مما أعطانا نافذة تنسيق لإنقاذ الموقف. كـمرحلة أولى من تطوير الـ Stage 1 rollup (يعني أن هناك ضمانات أمنية، لكنه لم يُنَحَ بعد درجة عالية من اللامركزية)، يوجد لجنة أمنية. تتكون من 12 عضوًا، ويجب أن يوقع 9 منهم على الأقل لتنفيذ العمليات (نظام توقيع متعدد 9 من 12). تعاونّا مع فريق Seal 911 (منظمة استجابة الطوارئ الأمنية في صناعة التشفير)، واستخدمنا صلاحيات الطوارئ لنقل الأموال من العنوان الذي يسيطر عليه القراصنة إلى عنوان جديد لا يمكنهم الوصول إليه، وُضع هناك.

أسس blockchain

Zack Guzman: لم أكن أعلم أن هناك حاجة إلى نظام 9 من 12، ويبدو أن الكثيرين لا يعرفون أن لدى Arbitrum هذا القدرة. ربما أنت أيضًا لا تريد أن يعرف القراصنة الكوريون الشماليون بوجود هذه الخاصية.

Griff Green: في الواقع، هذه معلومة عامة تمامًا. أعتقد أن الناس يسيئون فهم تقنية blockchain. أساسها هو الكود المفتوح، والعُقد التي تعمل على الخوادم، والإجماع الاجتماعي.

مشروعي الأول كان The DAO. جمعنا 150 مليون دولار، ثم تعرضنا للاختراق. إذا أردت معرفة التفاصيل، يمكنك قراءة كتاب Laura Shin المسمى “The Cryptopians”، الذي يتحدث عن هذا الأمر في 100 صفحة. في النهاية، قمنا بانقسام صلب لإيثريوم، وفعّلنا شيئًا مشابهًا جدًا لما نفعله الآن على Arbitrum: كسر القواعد دون إذن من القراصنة، ونقل الأموال من محافظ القراصنة.

يمكن فعل ذلك على إيثريوم وبيتكوين، وعلى أي سلسلة أخرى. لأن جوهر blockchain هو العمل على أساس الإجماع الاجتماعي، وإذا وافق الجميع، يمكن تحقيق ذلك.

على Arbitrum، هناك اختلاف بسيط، وهو أن الأمر لا يتطلب إقناع جميع مشغلي العقد، بل هناك مساران: يمكن لمُقتني رموز ARB التصويت لتنفيذ نفس العملية، أو أن يكون لدى لجنة أمن Arbitrum نظام توقيع متعدد 9 من 12 لتنفيذ العمليات في حالات الطوارئ. قبل ذلك، كانت صلاحيات اللجنة تُستخدم فقط لإصلاح الثغرات البرمجية وترقية البروتوكول، ولم تُستخدم أبدًا لتجميد الأموال. وأعرف أن هذه هي المرة الأولى التي يتم فيها تجميد أموال على سلسلة L2 كبيرة.

مقارنة بين حدثين

Zack Guzman: لقد مررت بحادثة The DAO وحدث اليوم، كيف تقارن بينهما؟

Griff Green: هذه المرة أسهل بكثير. The DAO كان مشروعي الخاص، وتم اختراقه بمبلغ 1.5 مليار دولار، وكان الضغط أكبر بكثير. هذه المرة، لم أخسر أموالًا شخصية، فقط تدخلت كعضو في اللجنة الأمنية.

والآن، البنية التحتية أفضل بكثير، ويمكننا فهم ما حدث بسرعة أكبر. عندما تعرضت The DAO للاختراق، لم نكن نعرف من هو القراصنة. هذه المرة، فريق Seal 911 تمكن من التواصل مع FBI، وتأكد أن المهاجم هو قراصنة كوريون شماليون. استطعنا من خلال الشبكة التي بنيناها على مر السنين الحصول على معلومات خارج البيئة.

نقاش القضايا الرئيسية

Zack Guzman: في مناقشة القرار، عدم اتخاذ إجراء يعني أن نترك كوريا الشمالية تحتفظ بهذه الأموال. لكن هناك من يخشى أن يؤدي ذلك إلى رد فعل سلبي في قطاع DeFi. كيف كانت عملية النقاش؟

Griff Green: أولاً، التحدي التقني. استغرقنا وقتًا للعثور على حل تقني مثالي، والنجاح في ذلك هو إنجاز عظيم، ويعود الفضل إلى الأبطال التقنيين وراء الكواليس.

بعد التأكد من أن الحل ممكن تقنيًا، بدأنا النقاش الحقيقي: هل يمكننا أن نفعل ذلك، وهل ينبغي علينا أن نفعل؟

من موقفي الشخصي، المهاجمون على الأرجح من كوريا الشمالية، ويشمل الأمر 72 مليون دولار، وDeFi يواجه خطر وجودي. دوري هو الحفاظ على دستور Arbitrum، واتباع ما أراه صحيحًا لـ Arbitrum. لا أحد سيلومنا إذا قررنا عدم التحرك، فعدم اتخاذ أي إجراء يحمل مخاطر قليلة جدًا، لذلك نحتاج إلى بعض روح المغامرة.

قد يشعر البعض بعدم الارتياح، ويقولون: “9 أشخاص يمكنهم أن يفعلوا ذلك على السلسلة”. لكن أقول لهم، أن تجعل 9 خبراء أمنيين شديدي الحذر يتفقون على فعل شيء بعد مراجعة جميع المشاكل المحتملة، هو أمر أصعب بكثير مما تتصور. ربما أصعب من تنسيق مع مجمعات التعدين لتجميد رموز ساتوشي.

المعلومة الأساسية أن النظام لا يزال لامركزيًا. هذا لا يقتصر على الهيكل، بل يظهر أيضًا في مشاعر السوق وسلوك الأسعار. إذا لم يعجب الناس قرارنا، فسوف يبيعون الرموز. هذا هو الركيزة الحقيقية لللامركزية، ودور الديناميكيات السوقية في هذه القضية يُقدّر بشكل كبير.

Zack Guzman: لجنة الأمن يتم انتخابها من قبل حاملي رموز ARB. هل ستُحدث هذه الحادثة سابقة، وتغير من نظرة المجتمع تجاه حوادث الاختراق في بيئة إيثريوم؟

Griff Green: هناك شيء يُقلل من شأنه: القراصنة نادراً ما يتركون الأموال في عنوان واحد لمدة يومين دون تحريكها. تمامًا لأنهم لم يتحركوا، أصبح لدينا نافذة للعمل. لم أسمع من قبل عن حادثة على Arbitrum مشابهة. لا أعلم لماذا لم ينقلوا الأموال. ربما تعبوا بعد ثلاثة أيام من العمل، أو أخذوا عطلة الأحد، وتأخروا يوم الاثنين.

لذا، أعتقد أن الناس سيكونون أكثر انفتاحًا على الأمر. ليس لأن الأمر أصبح تقنيًا ممكنًا (دائمًا كان ممكنًا)، بل لأنهم شاهدوا عملية فعلية. منصة L2Beat (مشروع تقييم أمان L2 برعاية مؤسسة إيثريوم) توضح أن لجنة الأمن لديها صلاحيات طارئة للترقية. يمكن للقراصنة أن ينقلوا الأموال في أي وقت، لكننا محظوظون.

الدروس الأمنية

Zack Guzman: ما هي الدروس الأمنية التي يمكن تعلمها؟

Griff Green: أولاً، يجب تحسين تحليل المخاطر التقنية. Aave أدت بشكل جيد في إدارة دخول رموز منخفضة القيمة ومتقلبة، لكنها سمحت بمرونة كبيرة في رموز الرهن اللامركزية (LST). هذه الرموز تعتمد على ETH، والمخاطر الاقتصادية منخفضة، لكن من ناحية التقنية، تحتاج إلى مراجعة أكثر دقة. ليست مشكلة Aave فقط، بل تشمل Morpho وCompound وSky وغيرها من بروتوكولات الإقراض، التي تحتاج إلى استثمار أكبر في تحليل المخاطر التقنية.

إعداد Kelp DAO يعاني من نقطة ضعف واحدة (single point of failure)، وهو ما يُنتقد عليه. لكن المشكلة الأكبر هي أمن العمليات (opsec)، أي أن المفاتيح تم اختراقها. كوريا الشمالية نادراً ما تقوم بهجمات على العقود الذكية، وغالبًا ما تكون الهجمات على الأشخاص. يستخدمون الهندسة الاجتماعية للوصول إلى أجهزة كمبيوتر ومفاتيح ذات صلاحيات خاصة.

هناك طريقتان لمواجهة ذلك: الأولى، تعزيز معايير الأمان. إذا كنت تدير أموالًا كبيرة، يجب أن يكون مستوى أمان حاسوبك مثل مستوى مدراء شركات التكنولوجيا الكبرى. لكن صناعة التشفير لم تصل بعد إلى هذا المستوى.

كيف نتصرف مع الـ 72 مليون دولار

Zack Guzman: كيف ستُعالج الـ 72 مليون دولار المستردة؟ هل ستُقرر عبر تصويت منكم؟

Griff Green: نعم، سيكون ذلك مثيرًا جدًا. وضع مستخدمي Aave وKelp DAO سيتحسن، لكن من الصعب تحديد خطة محددة. التنسيق داخل DAO أصعب، تمامًا مثل الحكومات والمنظمات الكبيرة، خاصة عندما لا يوجد قرار نهائي واضح.

كان هناك سابقًا تداخل في المسؤولية بين Aave وKelp DAO، والآن مع Arbitrum، أصبح الأمر يتطلب تعاون ثلاثة DAOs. الجانب الإيجابي هو أن هناك أموالًا فعلية، ولا يمكن لـ Aave وKelp DAO أن يلقوا اللوم على بعضهم البعض فقط، بل عليهم وضع خطة علنًا. كيف يُعاد الـ 72 مليون دولار للمستخدمين، يتوقف على تصويت حاملي رموز Arbitrum.

موقفي الشخصي هو أنه، إلا إذا تم إعادة الأموال مباشرة 100% للمستخدمين، فلا ينبغي لـ Arbitrum DAO أن يطلق سراحها.

ويجب أن أذكر أن لجنة الأمن تتصرف فقط في حالات الطوارئ. نحن أرسلنا الأموال إلى عنوان 0x0000DAO، و"DAO" هو اختيار متعمد، ويعني أن هذه الأموال الآن تعود إلى مجتمع DAO. أنا أيضًا من وكلاء Arbitrum DAO، لكن التصويت الإجمالي قد يصل إلى 200 مليون صوت، وأنا أملك حوالي 10 ملايين صوت، أي حوالي 5% من الأصوات. وهناك الكثير من الأشخاص الذين يملكون وزن تصويت أكبر مني.

المشاريع التي أعمل عليها الآن

Zack Guzman: تحدث عن المشاريع التي تعمل عليها الآن، فهي مرتبطة جدًا بموضوع الأمان.

Griff Green: بعد حادثة DAO، واصلت العمل في هذا القطاع. أحد المنصات التي أشارك في بنائها هو Giveth (منصة تبرعات لامركزية)، تساعد العديد من المنظمات غير الربحية على جمع التمويل على إيثريوم. رأيت بنفسي كيف تضيع الأموال من قبل هذه المنظمات بطرق متنوعة: إرسال الأموال إلى عناوين صحيحة لكن على شبكات خاطئة، أو التعرض لعمليات تصيد، أو ثغرات في العقود الذكية، أو اختراق البورصات، وغيرها.

بمستوى التكنولوجيا الحالي، يمكننا بناء شيء أكثر أمانًا من PayPal والبنوك. التقنية جاهزة. لكن، الواقع، أنني لا أعرف أي شخص سرقت أمواله من حساب بنكي بعد عملية تصيد، لكنني أعرف الكثيرين الذين فقدوا عملاتهم الرقمية بعد التصيد.

لذلك، أنشأنا صندوق أمان DAO (DAO Security Fund). هدفنا هو جعل إيثريوم أكثر أمانًا من البنوك. لدينا حوالي 170 مليون دولار من الأصول المرهونة، ونستخدم عائدات الرهن كمصدر تمويل طويل الأمد للأمان.

الدفعة الأولى من التمويل ستبدأ غدًا. على الموقع qf.giveth.io، يمكنك التبرع للمشاريع الأمنية. بناءً على نوع تبرعك، سيتم توزيع صندوق تمويل بقيمة مليون دولار على المشاريع الأمنية المختلفة.

لكن، الأهم من التمويل هو اكتشاف المشاريع. السوق يحتوي على مئات الأدوات الأمنية المفتوحة المصدر، لكن الكثيرين لا يعرفون بوجودها. الهدف الرئيسي من هذه الجولة هو جمع هذه المشاريع في مكان واحد، لتمكين الناس من اكتشافها. التمويل يساعد هذه المشاريع على البقاء، لكن التأثير الحقيقي يأتي من إشارات السوق: أي المشاريع أكثر حاجة، وأي الاتجاهات تستحق استثمار المزيد من الناس.

مقارنة بين Circle و Tether

Zack Guzman: عندما لا توجد آلية لجنة أمن، فإن المُصدر المركزي للعملات المستقرة (مثل Circle) يُجبر على مواجهة مشكلة تجميد الأصول أو عدمه. كيف ترى هاتين النموذجين؟

Griff Green: إذا كانت لديك القدرة على حل المشكلة، فمسؤوليتك أن تحلها. هناك مقولة تقول: الشر ينتصر إذا لم يفعل الخير شيئًا.

أقول بشكل واضح: من الواضح أن لا أحد في Circle هو شخص جيد. هم دائمًا يختارون عدم التحرك. أما Tether، فهي تواصل تجميد أموال كوريا الشمالية واسترداد مبالغ تفوق 70 مليون دولار.

قد تعتقد أن العكس هو الصحيح، لكن السبب هو أن فريق Tether المؤسس من أشخاص من البيئة الأصلية للعملات المشفرة، ويحافظ على بعض القيم التقليدية. أما Circle، فهي من غولدمان ساكس، ومنطق قراراتها هو: هل يظهر ذلك بشكل جيد في التقارير؟ إذا كان تجميد أموال كوريا الشمالية يربحهم، فسوف يفعلون.

أنا لست متطرفًا في دعم Tether، وأميل أكثر إلى اللامركزية. لكن، في هذه الحالة، تصرفات Circle تثير الحيرة. ربما نحتاج إلى بيع USDC بشكل جماعي لإعطاء رد فعل سوقي كافٍ لهم. هجمات كوريا الشمالية لا تضر فقط استثماراتنا، بل تهدد الأمن في العالم الحقيقي. والجميع يتضرر لعدم تصديهم لها.

Zack Guzman: الجانب السياسي في عالم blockchain أكثر تعقيدًا مما يظن الكثيرون.

Griff Green: صحيح. تظن أنه مجال مالي وتقني، لكنه مليء بالنقاشات السياسية. عن التنظيم الذاتي، وكيفية بناء المجتمع على أساس جديد، هناك نقاشات عميقة. لكن، كلما حاولت تطبيق هذه الأفكار في العالم الحقيقي، أواجه مشاكل أمنية.

هجمات كوريا الشمالية على البروتوكولات الكبرى تمثل بعدًا واحدًا، لكن هناك مشاكل أخرى أقل مستوى، مثل عمليات الاحتيال عبر مكالمات مزيفة تدعي أنها من Coinbase، وتحسين تجربة المستخدم، وغيرها. كثير من المشاكل ليست من مستوى هجمات الدولة، بل من مستوى تقنيتنا نحن أنفسنا، التي لا تزال غير متقنة بعد.

دخلت عالم التشفير في 2013، وحصلت على أول ماجستير في مجال العملات الرقمية في 2016. أعمل دائمًا من أجل المصلحة العامة، وأحاول بناء شيء أفضل من الحكومات، لكن المشكلة ذاتها تعيق التقدم: هذه التقنية لا تزال غير آمنة للاستخدام العام، لكن هناك فرصة هائلة لتغيير ذلك.