Na semana passada, o KelpDAO foi roubado por hackers quase 300 milhões de dólares, tornando-se até agora o maior incidente de segurança negativo no DeFi este ano.

O ETH roubado agora está disperso em várias blockchains, sendo que aproximadamente 30.765 unidades permanecem em um endereço na cadeia Arbitrum, avaliado em mais de 70 milhões de dólares.
Esta história parecia ter acabado, mas hoje surgiu uma continuação.
De acordo com a agência de segurança on-chain PeckShield, o dinheiro do hacker na cadeia Arbitrum foi transferido há algumas horas, mas o estranho é que esses fundos foram enviados para um endereço estranho que parece quase vazio, 0x00000... .
Na época, todos especulavam se o hacker tinha colocado o dinheiro no buraco negro e queimado, ou se tinha tido um momento de consciência ou sido convencido a se render.
Nenhuma das hipóteses.
Há algumas horas, o fórum oficial do Arbitrum publicou um aviso de ação emergencial explicando a situação. O dinheiro do hacker foi transferido pelo Conselho de Segurança do Arbitrum.
O mais surpreendente é que, sem conhecer a chave privada do endereço do hacker, o Conselho de Segurança do Arbitrum não congelou os fundos nem tinha permissão para transferir, mas enviou uma instrução de transferência "em nome do hacker".
O próprio hacker não tinha conhecimento, a chave privada não foi comprometida, e os registros na blockchain parecem indicar que foi uma operação feita pelo próprio hacker.
A operação foi possível graças ao fato de que todas as mensagens entre Arbitrum e Ethereum passam por uma ponte chamada Inbox, que é um contrato inteligente.
O Conselho de Segurança usou uma permissão de emergência para atualizar temporariamente esse contrato, adicionando uma nova função:
Enviar transações cross-chain em nome de qualquer carteira, sem precisar da chave privada dessa carteira.
Depois, eles usaram essa função para criar uma mensagem falsa, na qual o remetente era a carteira do hacker, com o conteúdo "transfira todo o meu ETH para o endereço de congelamento".
Quando o Arbitrum recebeu essa mensagem, executou normalmente, resultando na cena estranha mostrada na captura de tela da transferência na blockchain.
Após transferir o dinheiro do hacker, o contrato foi imediatamente revertido ao seu estado original.
A atualização, a falsificação, a transferência e a restauração foram todas feitas em uma única transação Ethereum.
Outros usuários e aplicações não foram afetados.
Essa operação não tem precedentes na história do Arbitrum.
Segundo o anúncio no fórum, o Conselho de Segurança confirmou previamente a identidade do hacker com as autoridades, apontando para o grupo Lazarus, da Coreia do Norte, uma das organizações de hackers mais ativas no setor de DeFi neste ano.
Após uma avaliação técnica, o Conselho decidiu agir, garantindo que não afetaria outros usuários.
Já que o hacker agiu de forma incorreta inicialmente, essa ação tem um tom de "não culpe ninguém por agir de forma não ética".
Quanto ao ETH congelado, seu destino será decidido por votação na governança do Arbitrum DAO, em coordenação com as autoridades.
Recuperar mais de 70 milhões de dólares roubados é certamente positivo, mas é importante notar que, para realizar essa ação, nove membros do Conselho assinaram, podendo assim contornar todas as votações de governança e atualizar contratos essenciais na blockchain instantaneamente.
Elogiando o resultado, mas preocupando-se com a capacidade?
Atualmente, a reação da comunidade a esse evento está bastante dividida.
Alguns acham que o Arbitrum fez um bom trabalho, protegendo os ativos no momento crítico, fortalecendo a confiança na L2.
Outros questionam: se nove pessoas podem assinar e mover qualquer ativo em nome de qualquer um, isso ainda é descentralizado?
Na minha opinião, as duas posições não estão falando da mesma coisa.
Os primeiros falam do resultado, os segundos da capacidade.
O resultado é certamente positivo, com os mais de 70 milhões de dólares recuperados.
Mas a capacidade de usar funções de multiassinatura para modificar contratos é neutra; o que se faz com ela, no futuro, depende da governança do conselho.
Para a maioria dos usuários do Arbitrum, essa discussão pode ser menos prática do que a realidade:
O Arbitrum não é único; atualmente, quase todas as L2 principais possuem permissões de atualização emergencial semelhantes.
Provavelmente, a cadeia que você usa também tem um conselho de segurança com capacidades similares.
Isso não é uma escolha exclusiva do Arbitrum; na fase atual, quase todas as L2 adotam esse design comum.
Por outro lado, essa ofensiva e defesa revelam uma visão maior.
O atacante é o Lazarus Group, da Coreia do Norte, responsável por pelo menos 18 ataques de DeFi neste ano.
Há três semanas, eles roubaram US$ 285 milhões do Drift Protocol, usando uma abordagem completamente diferente.
De um lado, hackers de nível estatal continuam aprimorando seus métodos de ataque; do outro, as L2 começam a usar permissões de baixo nível para contra-atacar.
A segurança do DeFi está entrando em uma nova fase, passando de "congelamento pós-fato, comunicação na cadeia, oração por white hats" para algo mais avançado.
Ao abrir uma chave mestra universal para acessar o endereço do hacker, e depois fundi-la, eles demonstraram capacidade de resposta.
Se por um lado isso mostra que há capacidade de lidar com ataques, por outro, levanta questões filosóficas sobre descentralização.
Operações centralizadas na indústria de criptomoedas não são incomuns; pelo menos, neste caso, eles lidaram com o incidente e resolveram o problema, ao invés de criar mais problemas.
Pragmaticamente, o KelpDAO foi roubado em US$ 292 milhões, e recuperaram pouco mais de US$ 70 milhões, menos de um quarto do total.
O ETH restante ainda está disperso em outras chains, e há mais de US$ 100 milhões em dívidas na Aave ainda sem solução, além de incertezas sobre quanto os detentores de rsETH poderão recuperar.
Mesmo com o uso de permissões de nível superior pelo Arbitrum, a batalha ainda não acabou.