La semana pasada, KelpDAO fue hackeado y le robaron casi 300 millones de dólares, convirtiéndose en el mayor incidente de seguridad negativo en DeFi hasta la fecha.

El ETH robado ahora está disperso en varias cadenas, de los cuales aproximadamente 30,765 permanecen en una dirección en la cadena Arbitrum, con un valor de más de 70 millones de dólares.
Esta historia parecía haber terminado, pero hoy ha salido una secuela.
Según la monitorización de la agencia de seguridad en cadena PeckShield, el dinero en la dirección del hacker en la cadena Arbitrum fue transferido hace unas horas, pero lo extraño es que ese dinero fue enviado a una dirección extraña que parece casi vacía, 0x00000... .
Todos estaban especulando en ese momento: ¿el hacker se autoincriminó y envió el dinero a una dirección de agujero negro para quemarlo? ¿O fue por conciencia o por ser sobornado?
No fue ninguna de esas.
Hace unas horas, el foro oficial de Arbitrum publicó un aviso de acción urgente explicando la situación. El dinero del hacker fue transferido por el Consejo de Seguridad de Arbitrum.
Lo sorprendente es que, sin conocer la clave privada de la dirección del hacker, el consejo de Arbitrum ni congeló los fondos ni tenía permiso para transferirlos, sino que envió una orden de transferencia en nombre del hacker.
El propio hacker no estaba informado, la clave privada no fue comprometida, y los registros en cadena parecen indicar que fue una operación realizada por el propio hacker.
El principio de esta operación es que todos los mensajes entre Arbitrum y Ethereum que cruzan cadenas pasan por un contrato puente llamado Inbox. El consejo de seguridad utilizó permisos de emergencia para actualizar temporalmente este contrato, añadiendo una nueva función:
Enviar transacciones entre cadenas en nombre de cualquier dirección de cartera, sin necesidad de la clave privada de esa cartera.
Luego, usaron esta función para falsificar un mensaje, en el que el remitente era la cartera del hacker, con el contenido de “Transferir todo mi ETH a la dirección de congelación”. Cuando la cadena Arbitrum recibió esto, ejecutó la orden como de costumbre, lo que resultó en la escena extraña en la captura de pantalla de la transferencia en cadena.
Tras completar la transferencia del dinero del hacker, el contrato volvió inmediatamente a su versión original. La actualización, falsificación, transferencia y restauración se completaron en una sola transacción en Ethereum. Otros usuarios y aplicaciones no se vieron afectados.
Esta operación no tiene precedentes en la historia de Arbitrum.
Según el anuncio en el foro, el consejo de seguridad confirmó previamente la identidad del hacker con las autoridades, apuntando al grupo Lazarus de Corea del Norte, la organización de hackers a nivel estatal más activa en DeFi este año. El consejo realizó una evaluación técnica y solo actuó después de asegurarse de que no afectaría a otros usuarios.
Dado que las acciones del hacker fueron incorrectas desde el principio, esta medida tiene un tono de “no culpen a todos por no seguir las reglas”. En cuanto a qué hacer con el ETH congelado, se decidirá mediante votación de gobernanza en la DAO de Arbitrum, en coordinación con las autoridades.
Recuperar más de 70 millones de dólares robados es, por supuesto, positivo. Pero hay que tener en cuenta que, para realizar esta acción, solo 9 de los 12 miembros del consejo de seguridad firmaron, pudiendo así evitar todas las votaciones de gobernanza y actualizar instantáneamente cualquier contrato central en cadena.
¿Elogios por el resultado o preocupación por la capacidad?
Actualmente, la comunidad tiene reacciones muy divididas.
Unos piensan que Arbitrum hizo un buen trabajo, protegiendo los activos en un momento crítico y fortaleciendo la confianza en L2. Otros, en cambio, plantean una pregunta muy directa: si solo 9 personas pueden firmar para mover cualquier activo en nombre de cualquiera, ¿esto todavía es descentralizado?
Creo que ambas partes no se refieren exactamente a lo mismo.
La primera habla del resultado, la segunda de la capacidad. El resultado es claramente positivo, los más de 70 millones de dólares recuperados. Pero la capacidad demostrada por Arbitrum en esta ocasión para modificar funciones de contratos mediante firmas múltiples es neutral; cómo y para qué se use esa capacidad en el futuro, si se usará o no, depende en última instancia de la gobernanza del comité.
Sin embargo, para la mayoría de los usuarios de Arbitrum, esta discusión puede ser menos relevante que otro hecho más tangible. Arbitrum no es único; actualmente, la mayoría de las L2 principales mantienen permisos de actualización de emergencia similares.
Probablemente, la cadena que usas también tenga un consejo de seguridad similar, con capacidades similares. Esto ya no es una característica exclusiva de Arbitrum; en esta etapa, casi todas las L2 comparten este diseño común.
Desde otra perspectiva, esta ofensiva y defensa en realidad revelan un panorama más amplio.
El atacante es el grupo Lazarus de Corea del Norte, responsable de al menos 18 ataques en DeFi este año. Hace tres semanas, robaron 285 millones de dólares en Drift Protocol, usando un método completamente diferente.
Por un lado, los hackers de nivel estatal están constantemente mejorando sus técnicas de ataque; por otro, las L2 comienzan a usar permisos de bajo nivel para contraatacar. La seguridad en DeFi está entrando en una nueva fase, dejando atrás las “congelaciones posteriores, llamadas en cadena y oraciones a los white hats”.
En tiempos de crisis, se creó una llave maestra para abrir la dirección del hacker, y luego se fundió esa llave. Desde esta perspectiva, tener la capacidad de responder a ataques de hackers no es algo negativo.
Y si se quiere elevar esto a una discusión filosófica sobre “la verdadera descentralización”, hay muchas cosas que decir. La centralización en la industria de las criptomonedas no es poca; al menos, en esta ocasión, se abordó un evento negativo y se resolvió, en lugar de crear uno.
En un análisis pragmático, KelpDAO fue hackeado por 292 millones, y se recuperaron más de 70 millones, menos de una cuarta parte del total. El resto del ETH sigue disperso en otras cadenas, y hay más de 100 millones de dólares en deuda en Aave que aún no se han resuelto. No se sabe cuánto podrán recuperar los poseedores de rsETH.
Incluso si Arbitrum usó permisos de nivel superior, claramente esta batalla aún no ha terminado.