Tak tertandingi! 12 orang menekan tombol pause, celana dalam "desentralisasi" $ETH L2 mereka ditelanjangi, apakah aset Anda aman?

Beberapa hari yang lalu, Kelp DAO dicuri sebesar 290 juta dolar AS, menjadi kasus pencurian terbesar tahun ini dalam dunia kripto. Pelaku diduga adalah kelompok Lazarus dari Korea Utara.

Keesokan hari kejadian, sebuah grup obrolan yang terdiri dari 12 orang secara langsung mengubah blockchain Arbitrum, membekukan $ETH senilai 71 juta dolar AS di dalamnya. Pihak resmi menyebut ini sebagai “tindakan darurat komite keamanan”, karena lembaga penegak hukum telah memberikan identitas pelaku.

Realitas teknisnya adalah: hanya dengan 9 tanda tangan, tanpa persetujuan pemilik akun, dapat mengubah saldo akun di Layer2 yang diklaim “terdesentralisasi”.

Ethereum yang dicuri dalam bentuk rsETH dengan cepat ditukar menjadi $ETH. Perubahan saldo dompet pelaku adalah sebagai berikut: puncaknya sekitar 260 juta dolar AS pada 19 April, turun menjadi 240 juta dolar AS pada 20 April, dan sekitar 175 juta dolar AS pada 21 April. Hingga analisis dilakukan, secara terbuka dikonfirmasi bahwa 71 juta dolar AS dibekukan, sekitar 25% dari total; pelaku masih mengendalikan sekitar 175 juta dolar AS, 60%; sisanya tidak diketahui ke mana arahnya.

Di jaringan utama Ethereum, tidak ada komite yang dapat membekukan alamat. Tetapi di Arbitrum, komite memiliki dan menjalankan kekuasaan ini.

Komite ini dipilih melalui tata kelola Arbitrum DAO, terdiri dari 12 anggota, dengan persetujuan 9 orang, dan berganti setiap enam bulan. Mereka memiliki hak administrator langsung atas semua kontrak sistem.

Proses upgrade normal memerlukan masa pengumuman sekitar 13 hari. Sedangkan proses komite keamanan adalah: 9 tanda tangan, langsung dieksekusi, tanpa penundaan. Dokumen menyebutkan bahwa mereka dapat mengakses semua hak secara langsung, tanpa kunci waktu, tanpa voting.

Operasi spesifik tidak dilakukan langsung di Arbitrum. Komite memulai panggilan dari Ethereum, sementara itu secara sementara mengubah kode inti yang menangani pesan lintas rantai di Arbitrum. Versi modifikasi ini melewati verifikasi tanda tangan, memungkinkan pengirim untuk menentukan alamat pengiriman secara bebas.

Mereka memalsukan tanda tangan pelaku, memulai transfer “dari pelaku ke dompet penarikan kembali”, memanfaatkan fitur internal yang memungkinkan transaksi dieksekusi tanpa verifikasi tanda tangan. Sebanyak 30.766 ETH dipindahkan. Setelah itu, kode yang diubah segera dikembalikan ke keadaan semula.

Sepanjang proses ini, kunci pribadi pelaku tidak pernah digunakan. Mereka hanya sementara mengubah aturan, memalsukan transfer dengan tanda tangan yang setara, lalu mengembalikan aturan tersebut. Ini adalah kekuasaan yang dapat digunakan berulang kali, dan riwayat di blockchain tidak di-rollback.

Mengembalikan dana pengguna adalah tindakan keadilan, dan komite bertindak sesuai desain. Tetapi inti masalahnya adalah: lain kali, siapa yang bisa mencegah penyalahgunaan kekuasaan ini?

Dalam menghadapi tekanan geopolitik, permintaan regulasi yang ketat, surat keamanan nasional, atau perintah pengadilan, semuanya hanya membutuhkan 9 tanda tangan. Mengancam salah satu anggota dengan keluarganya, lalu mengumpulkan 8 tanda tangan lagi juga cukup.

Alat yang bisa mengembalikan dana curian sebesar 71 juta dolar ini, juga bisa digunakan untuk menyita 71 juta dolar dari sengketa lain. Alat ini tidak memandang baik atau buruk. Satu-satunya penghalang antara aset pengguna dan penyitaan adalah moral, keamanan pribadi, dan risiko hukum dari 12 orang tersebut. Kepercayaan kita tidak lagi pada matematika dan kode, melainkan pada 12 orang biasa.

Ini bukan masalah yang hanya terjadi di Arbitrum. $OP, Base, Polygon zkEVM, zkSync Era, StarkNet, Scroll, Linea, setiap Layer2 yang mengklaim “solusi skalabilitas Ethereum terdesentralisasi”, memiliki sebuah komite yang dapat membekukan dana.

$ETH L1 adalah blockchain utama yang secara struktural tidak bisa membekukan dana, karena tidak memiliki pengatur urutan (sequencer) dan kunci administrator. Tidak ada L2 yang bisa. Seluruh ekosistem L2 mengklaim “mengadopsi trustless dari Ethereum”, tetapi secara struktur tidak bisa benar-benar mewarisinya.

Semua Rollup pada dasarnya adalah database berkecepatan tinggi, saluran penarikan yang lambat, dan sekelompok komite yang memegang kunci.

Pembentukan komite keamanan adalah kompromi dari aspek rekayasa: rangkaian zero-knowledge mungkin memiliki celah yang perlu diperbaiki secara darurat; sistem bukti penipuan pernah mengalami masalah; kegagalan pengatur urutan membutuhkan intervensi manual.

Jika memperlambat ritme upgrade Ethereum yang lambat dengan teknologi kriptografi eksperimental, Rollup mungkin akan mati sebelum matang.

Namun industri jarang membahas ini sebagai sebuah kompromi. Yang sering didengar adalah “Rollup mewarisi keamanan Ethereum”. Padahal kenyataannya adalah: “Rollup mewarisi keamanan Ethereum, kecuali orang-orang yang memegang kunci administrator itu bertindak.”

Ikuti saya: dapatkan analisis dan wawasan pasar kripto secara real-time! $BTC $ETH $SOL

#Gate13周年现场直击 #WCTC kompetisi trading bagi-bagi 8 juta USDT #ReboundBitcoin