Membres du comité arbitrum : pourquoi avons-nous activé le gel des privilèges divins pour 72 millions de dollars ?

Compilation | Deep Tide TechFlow

Invité : Griff Green, membre du Conseil de sécurité d’Arbitrum

Animateur : Zack Guzma

Lien vers l’article original :

Introduction éditoriale

Ces derniers jours, Ethereum et l’ensemble du secteur des cryptomonnaies ont suivi de près l’attaque du Kelp DAO (un protocole de ré-encastrement de liquidités) qui a également touché Aave (plateforme de prêt décentralisée).

Le Conseil de sécurité d’Arbitrum a utilisé ses pouvoirs d’urgence pour geler et récupérer environ 72 millions de dollars d’actifs provenant d’adresses suspectées d’être contrôlées par des hackers nord-coréens. C’est la première fois dans l’industrie crypto qu’une « chaîne L2 » active un « pouvoir divin » pour geler les fonds d’une adresse. Avant cette émission, la communauté était divisée : si Arbitrum a fait ce qui semblait être la bonne chose, le fait qu’une seule chaîne puisse « transférer » des fonds d’une adresse soulève des questions sur ses limites et la décentralisation.

L’invité de cet épisode, Griff Green, est l’un des membres du Conseil de sécurité habilités à prendre cette décision. Griff est également un témoin direct du piratage de The DAO en 2016 et un des promoteurs de la hard fork d’Ethereum. Dans l’interview, il critique directement Circle (émetteur de USDC) pour sa « passivité continue » lors de l’incident nord-coréen, et compare cette attitude à celle de Tether, qui a activement gelé des fonds, estimant que la logique de décision de Circle est entièrement guidée par ses états financiers.

Citations clés

L’« irréfutabilité » de la blockchain est une erreur

« Les gens pensent que la blockchain est immuable, mais en réalité, son fonctionnement repose sur un consensus social. Si tout le monde accepte une mise à jour du protocole, les règles peuvent changer. Ethereum, Bitcoin, c’est pareil. »

« C’est pourquoi certains dans la communauté Bitcoin discutent aujourd’hui de geler les tokens de Satoshi. Techniquement, c’est tout à fait possible, car la blockchain n’est pas absolument immuable, elle a simplement des règles. »

Le véritable fondement de la décentralisation est le comportement du marché

« Si les gens n’aiment pas nos décisions, ils vendront leurs tokens. Si le réseau Bitcoin s’organisait pour voler l’argent des gens, ses détenteurs le rejetteraient aussi. La vraie base de la décentralisation, c’est le comportement du marché. La dynamique du marché est gravement sous-estimée dans cette affaire. »

« Franchement, personne ne nous en voudra si nous ne faisons rien. Ne rien faire comporte presque aucun risque, il faut juste un peu d’audace. »

Les modes d’attaque des hackers nord-coréens

« La Corée du Nord attaque rarement au niveau des contrats intelligents. La plupart du temps, ce n’est pas le code qui est visé, mais les personnes. Ils utilisent l’ingénierie sociale pour trouver les clés avec des permissions spéciales, puis accèdent aux ordinateurs et aux clés. »

« Je ne comprends pas pourquoi ils ont laissé des fonds dans une adresse pendant deux jours sans rien faire. Peut-être qu’ils ont travaillé trois jours d’affilée, puis se sont reposés dimanche, et lundi ils sont arrivés en retard. Voilà notre fenêtre. »

Comparaison entre Circle et Tether

« Je vais être clair : il n’y a clairement pas de héros chez Circle. Ils ont toujours choisi de ne rien faire. Tether, en revanche, a constamment gelé des fonds nord-coréens, récupérant bien plus que 70 millions de dollars. »

« Circle n’est pas une entreprise crypto native, c’est Goldman Sachs. Leur logique de décision, c’est : est-ce que ça apparaît bien dans les états financiers ? Si geler des fonds nord-coréens leur permet de faire du profit, ils le feront. »

Les enjeux de sécurité, principal obstacle à l’adoption de la crypto

« Avec la technologie d’aujourd’hui, on peut créer des systèmes plus sûrs que PayPal ou les banques. En reprenant l’infrastructure de ces institutions, en supprimant les custodians, et en créant des versions non-custodiales, la technologie est prête. »

« Je ne connais personne dont le compte bancaire a été vidé après une attaque de phishing. Mais je connais beaucoup de gens qui ont perdu leur crypto après une attaque de phishing. »

« Je travaille depuis toujours pour l’intérêt général, pour construire quelque chose de meilleur que le gouvernement, mais je suis constamment bloqué par un problème récurrent : cette technologie ne permet pas encore à tout le monde de l’utiliser en toute sécurité. »

Activer le pouvoir divin

Zack Guzman : Beaucoup suivent l’évolution de la situation. La controverse ne faiblit pas. Commençons par la structure du Conseil de sécurité d’Arbitrum. En tant que membre, vous avez mentionné que c’était une décision très sérieuse. Pouvez-vous expliquer comment tout cela s’est déroulé ?

Griff Green : Kelp DAO a été attaqué. La responsabilité principale, que ce soit de Kelp DAO ou de LayerZero (le protocole de messagerie inter-chaînes), fait encore débat, mais l’impact a touché Aave. Il s’agit d’une attaque sur un pont inter-chaînes : environ 300 millions de dollars de tokens sur Layer 2 ont été volés par le hacker, puis déposés sur Aave sur Ethereum et Arbitrum en tant que collatéral pour emprunter de l’ETH.

Après avoir obtenu l’ETH, les hackers nord-coréens ont laissé les fonds dans leur portefeuille pendant plusieurs jours, ce qui nous a donné une fenêtre pour coordonner une intervention. Arbitrum, en tant que rollup de phase 1 encore en développement (ce qui signifie une certaine sécurité mais pas encore une décentralisation totale), dispose d’un Conseil de sécurité. C’est un multisig 9/12 (9 signatures sur 12 membres). Nous avons collaboré avec l’équipe de Seal 911 (organisation d’intervention d’urgence en sécurité crypto) pour utiliser nos pouvoirs d’urgence afin de transférer les fonds hors de l’adresse contrôlée par les hackers, vers une nouvelle adresse inaccessible pour eux.

Les fondements de la blockchain

Zack Guzman : Je ne savais pas qu’il fallait un seuil de 9 sur 12. Beaucoup de gens ignorent aussi que cette capacité existe chez Arbitrum. Vous ne souhaitez probablement pas que les hackers nord-coréens connaissent cette fonction.

Griff Green : En réalité, c’est une information totalement publique. Je pense que beaucoup ont une idée fausse de la technologie blockchain. La base, c’est le code open source, les nœuds qui tournent sur des serveurs, et le consensus social.

Mon premier projet, c’était The DAO. À l’époque, nous avions levé 150 millions de dollars, puis nous avions été piratés. Si vous voulez en savoir plus, lisez « The Cryptopians » de Laura Shin, qui consacre 100 pages à cette histoire. Finalement, nous avons fait une hard fork d’Ethereum pour faire quelque chose de très similaire à ce que nous faisons aujourd’hui sur Arbitrum : sans l’autorisation du hacker, briser la règle, et transférer les fonds de son portefeuille.

Sur Ethereum et Bitcoin, c’est possible, et sur n’importe quelle chaîne aussi. Parce que la blockchain repose sur un consensus social. Aujourd’hui, certains dans la communauté Bitcoin discutent de geler les tokens de Satoshi. Si tout le monde est d’accord, cela peut se faire.

Sur Arbitrum, c’est un peu différent : il ne faut pas convaincre tous les nœuds, mais deux voies existent : les détenteurs de l’ARB peuvent voter pour exécuter la même opération, ou le multisig 9/12 du Conseil de sécurité peut agir en cas d’urgence. Jusqu’ici, leur pouvoir était réservé à la correction de bugs et aux mises à jour du protocole, jamais à geler des fonds. À ma connaissance, c’est la première fois qu’un grand L2 gèle des fonds on-chain.

Comparaison entre deux incidents

Zack Guzman : Vous avez vécu deux incidents : le piratage de The DAO et celui-ci. Quelles différences en retirez-vous ?

Griff Green : C’est beaucoup plus simple cette fois. The DAO, c’était mon propre projet, j’ai perdu 150 millions de dollars, c’était beaucoup plus stressant. Là, je n’ai pas perdu d’argent personnel, je suis simplement intervenu en tant que membre du Conseil de sécurité.

Et puis, l’infrastructure est bien meilleure aujourd’hui, on comprend plus vite ce qui se passe. Lors du piratage de The DAO, on ne savait même pas qui était le hacker. Cette fois, Seal 911 a pu contacter le FBI, et on a confirmé que l’attaquant était probablement un hacker nord-coréen. Grâce à notre réseau de contacts, on a pu obtenir des renseignements en dehors de l’écosystème.

Les sujets clés

Zack Guzman : Lors de la prise de décision, ne pas agir reviendrait à laisser la Corée du Nord avec ces fonds. Mais certains craignent que cela n’ait un effet dissuasif sur la DeFi. Comment se déroule la discussion ?

Griff Green : D’abord, il y a le défi technique. On a passé beaucoup de temps à trouver une solution technique parfaite. La trouver, c’est déjà une réussite, grâce à des héros techniques derrière le rideau.

Une fois la faisabilité assurée, on passe à la vraie question : peut-on le faire, doit-on le faire ?

Personnellement, je pense que l’attaquant est presque certain d’être nord-coréen, et qu’il s’agit de 72 millions de dollars. La DeFi est en jeu, c’est une question de survie. Mon rôle, c’est de défendre la Constitution d’Arbitrum, et de faire ce que je pense être juste pour Arbitrum. Personne ne nous en voudra si nous ne faisons rien : ne rien faire comporte presque zéro risque, il faut juste un peu d’audace.

Certains seront mal à l’aise, en disant : « 9 personnes peuvent faire ça sur la chaîne ». Mais je leur réponds : faire en sorte que 9 experts en sécurité, très prudents, parviennent à un consensus après avoir vérifié tous les risques, c’est beaucoup plus difficile qu’on ne le pense. Peut-être plus difficile que de coordonner un pool de mineurs pour geler les tokens de Satoshi.

L’essentiel, c’est que le système reste décentralisé. Non seulement dans l’architecture, mais aussi dans l’état d’esprit du marché et la dynamique des prix. Si les gens n’aiment pas notre décision, ils vendront leurs tokens. C’est la véritable pierre angulaire de la décentralisation, et le rôle du marché dans cette affaire est gravement sous-estimée.

Zack Guzman : Le Conseil de sécurité est élu par les détenteurs de l’ARB. Cet incident pourrait-il créer un précédent et changer la perception des attaques dans l’écosystème Ethereum ?

Griff Green : Il y a un point sous-estimé : les hackers ne laissent généralement pas leurs fonds inactifs pendant deux jours. C’est justement parce qu’ils n’ont pas bougé que nous avons pu agir. Sur Arbitrum, je ne connais pas d’autre incident où cela se soit produit. Je ne comprends pas pourquoi ils n’ont pas transféré plus tôt. Peut-être qu’ils ont été fatigués après trois jours d’attaque, qu’ils ont pris un dimanche de repos, et qu’ils sont arrivés en retard lundi.

Donc, je pense que les gens seront plus ouverts à cette idée. Pas parce que la technique le permet (ça a toujours été possible), mais parce qu’ils ont vu une opération concrète. Sur L2Beat (le projet d’évaluation de sécurité L2 soutenu par la Fondation Ethereum), il est clairement indiqué que le Conseil de sécurité dispose de pouvoirs d’urgence pour faire des mises à jour. Les hackers peuvent transférer les fonds à tout moment, mais nous avons eu de la chance.

Leçons de sécurité

Zack Guzman : Quelles sont les leçons en matière de sécurité ?

Griff Green : D’abord, il faut améliorer l’analyse des risques techniques. Aave gère bien l’accès à des tokens à faible capitalisation et à forte volatilité, mais laisse trop de liberté aux tokens de staking liquide (LST). Ces tokens ont pour sous-jacent de l’ETH, donc le risque économique est faible, mais le risque technique doit être mieux contrôlé. Ce n’est pas seulement un problème d’Aave, mais aussi de protocoles comme Morpho, Compound, Sky, etc. Tous doivent renforcer leur analyse des risques techniques.

Le problème de Kelp DAO, c’est qu’il présente un point de défaillance unique (one-of-one), c’est-à-dire qu’il suffit de compromettre un seul point critique pour réussir. Mais le problème plus grave, c’est la sécurité opérationnelle (opsec) : si la clé est compromise, tout est perdu. La Corée du Nord attaque rarement au niveau des contrats, la majorité du temps ce n’est pas le code qui est visé, mais les personnes. Ils utilisent l’ingénierie sociale pour obtenir l’accès à des ordinateurs ou des clés avec des permissions spéciales.

Il y a deux réponses possibles : renforcer les standards de sécurité. Si vous gérez des fonds importants, votre sécurité doit être aussi rigoureuse que celle d’un PDG de grande tech. Mais l’industrie crypto n’en est pas encore là.

Que faire des 72 millions de dollars récupérés ?

Zack Guzman : Que va-t-on faire des 72 millions de dollars récupérés ? C’est vous qui décidez par vote ?

Griff Green : Oui, ça va être très intéressant. La situation des utilisateurs d’Aave et de Kelp DAO va s’améliorer, mais il est difficile de fixer une solution précise. La coordination interne des DAO est déjà compliquée, comme avec les gouvernements ou de grandes organisations, surtout quand il n’y a pas de décideur final clair.

Avant, c’était Aave et Kelp DAO qui se renvoyaient la responsabilité. Maintenant, avec Arbitrum, il faut que trois DAO collaborent. La bonne nouvelle, c’est qu’il y a des fonds concrets. Aave et Kelp DAO ne peuvent plus simplement se rejeter la faute, ils doivent élaborer une solution publique. La façon dont ces 72 millions seront redistribués aux utilisateurs sera décidée par un vote des détenteurs de l’ARB.

Personnellement, je pense que, sauf si la totalité est directement restituée aux utilisateurs, l’Arbitrum DAO ne devrait pas libérer ces fonds.

Il faut préciser que le Conseil de sécurité n’agit qu’en cas d’urgence. Nous avons transféré les fonds à l’adresse 0x0000DAO, dont le suffixe « DAO » a été choisi délibérément, signifiant que cet argent appartient désormais à la communauté DAO. Je suis aussi délégué de l’Arbitrum DAO. Mais le total des votes peut atteindre 200 millions, et je ne possède qu’environ 10 millions, soit environ 5 % du pouvoir de vote. Beaucoup d’autres ont un poids plus important.

Projets en cours

Zack Guzman : Parlez de vos projets actuels, très liés à la sécurité.

Griff Green : Après l’incident de DAO, je suis resté engagé dans ce secteur. Je participe à la construction d’une plateforme appelée Giveth (plateforme de dons décentralisée), qui aide de nombreuses ONG à lever des fonds sur Ethereum. J’ai vu de mes propres yeux ces ONG perdre de l’argent de toutes les manières possibles : en envoyant des fonds à la mauvaise adresse ou sur la mauvaise chaîne, en étant victimes de phishing, de vulnérabilités dans les contrats, ou de piratages d’échanges.

Avec la technologie d’aujourd’hui, on peut créer des systèmes plus sûrs que PayPal ou les banques. La technologie est prête. Mais la réalité, c’est que je ne connais personne dont le compte bancaire a été vidé après une attaque de phishing, alors que je connais beaucoup de gens qui ont perdu leur crypto de cette façon.

C’est pourquoi nous avons créé le DAO Security Fund. L’objectif est de rendre Ethereum plus sûr que les banques. Nous avons environ 170 millions de dollars en actifs stakés, avec des revenus de staking qui servent de fonds à long terme pour la sécurité.

La première grande phase de financement démarre demain. Sur qf.giveth.io, vous pouvez faire un don à des projets de sécurité. En fonction de votre contribution, un pool de 1 million de dollars sera réparti entre différents projets de sécurité.

Mais plus que l’argent, c’est la détection de projets qui compte. Il existe des centaines d’outils de sécurité open source gratuits, mais beaucoup de gens ignorent leur existence. L’objectif principal de cette phase, c’est de rassembler ces projets en un seul endroit, pour que tout le monde puisse les découvrir. L’argent peut aider ces projets à survivre, mais ce qui a vraiment de l’impact, c’est le signal du marché : quels projets sont les plus demandés, dans quelles directions il faut investir davantage.

Comparaison entre Circle et Tether

Zack Guzman : Quand il n’y a pas de mécanisme comme un Conseil de sécurité, ce sont généralement les émetteurs de stablecoins centralisés (comme Circle) qui doivent faire face à la question du gel ou non des fonds. Quel est votre avis sur ces deux modèles ?

Griff Green : Si vous avez la capacité de résoudre ce problème, vous avez aussi la responsabilité de le faire. Il y a cette vieille maxime : « Tout ce qu’il faut pour que le mal triomphe, c’est que les gens bien ne fassent rien. »

Je vais être clair : chez Circle, il n’y a clairement pas de héros. Ils ont toujours choisi de ne rien faire. Tether, en revanche, a constamment gelé des fonds nord-coréens, récupérant bien plus que 70 millions de dollars.

Vous pourriez penser que c’est l’inverse qu’il faudrait faire, mais je pense que la différence vient du fait que l’équipe fondatrice de Tether est née dans la DeFi et la crypto, et conserve certains vieux principes crypto. Circle, lui, vient de Goldman Sachs. Leur logique, c’est : est-ce que ça apparaît bien dans les états financiers ? Si geler des fonds nord-coréens leur permet de faire du profit, ils le feront.

Je ne suis pas un extrémiste de Tether, je préfère la décentralisation. Mais leur comportement dans cette affaire est difficile à comprendre. Peut-être qu’il faut que tout le marché se mette à vendre USDC pour leur donner un retour suffisant. L’attaque nord-coréenne ne vise pas seulement notre portefeuille, elle menace aussi la sécurité du monde réel. Tout le monde en subit les conséquences parce qu’on ne bloque pas la Corée du Nord.

Zack Guzman : La politique dans le monde de la blockchain est bien plus complexe qu’on ne le pense.

Griff Green : Exactement. On croit que c’est purement financier, technique, mais il y a beaucoup de discussions politiques. Sur l’autorégulation, la construction d’une société sur de nouvelles bases, c’est très profond. Mais chaque fois que j’essaie d’amener ces idées dans le monde réel, je bute sur des questions de sécurité.

Les attaques de la Corée du Nord contre de grands protocoles ne sont qu’un aspect. Il y a aussi beaucoup de problèmes plus basiques : des arnaques par faux support Coinbase, des améliorations à apporter à l’expérience utilisateur, etc. Beaucoup de ces problèmes ne sont pas liés à des attaques étatiques, mais à nos propres lacunes techniques. Depuis 2013 dans la crypto, et 2016, j’ai un master en monnaies numériques. Je travaille depuis toujours pour l’intérêt général, pour construire quelque chose de meilleur que le gouvernement, mais je suis constamment freiné par un même problème : cette technologie ne permet pas encore à tout le monde de l’utiliser en toute sécurité. Pourtant, il y a une énorme opportunité de changer cela.