Membros do Comitê de Arbitragem do Arbitrum: Por que ativamos a permissão de Deus para congelar 72 milhões de dólares?

Compilação | Deep Tide TechFlow

Convidado: Griff Green, membro do Conselho de Segurança da Arbitrum

Apresentador: Zack Guzma

Link do artigo original:

Introdução editorial

Nos últimos dias, Ethereum e todo o ecossistema cripto têm acompanhado o ataque ao Kelp DAO (um protocolo de recompra de liquidez) que também afetou a Aave (plataforma de empréstimos descentralizada).

O Conselho de Segurança da Arbitrum usou privilégios de emergência para congelar e recuperar cerca de 72 milhões de dólares em ativos de endereços suspeitos controlados por hackers norte-coreanos. Esta é a primeira vez na indústria cripto que uma “camada L2” ativa “privilégios de Deus” para congelar fundos de um endereço. Antes deste episódio, a comunidade discutia intensamente, pois embora a ação fosse correta, a capacidade de uma cadeia de controlar e transferir fundos de um endereço levanta dúvidas sobre seus limites de poder e descentralização.

O convidado desta edição, Griff Green, é um membro do Conselho de Segurança com autoridade para tomar essa decisão na Arbitrum. Griff também foi testemunha do ataque ao The DAO em 2016 e um dos impulsionadores da hard fork do Ethereum. Na entrevista, ele critica diretamente a Circle (emissora do USDC) por sua “continua inação” no incidente com hackers norte-coreanos e compara com a postura da Tether, que congelou fundos ativamente, argumentando que a lógica de decisão da Circle é totalmente orientada por relatórios financeiros.

Citações principais

A “imutabilidade” da blockchain é um equívoco

“As pessoas acham que a blockchain é imutável, mas na verdade, a base do funcionamento da blockchain é o consenso social. Se todos concordarem em atualizar o protocolo, as regras podem ser mudadas. Ethereum e Bitcoin funcionam assim.”

“Por isso, há discussões na comunidade do Bitcoin sobre congelar tokens de Satoshi. Isso é tecnicamente possível, porque a blockchain não é absolutamente imutável; ela apenas tem regras.”

A verdadeira base do descentralização é o comportamento de mercado

“Se as pessoas não gostarem da nossa decisão, venderão seus tokens. Se a rede Bitcoin coordenar um roubo de fundos, os detentores também irão vender. A verdadeira fundação do descentralizado é o comportamento de mercado, e o papel da dinâmica de mercado nesta questão é subestimado.”

“Para ser honesto, ninguém nos culparia por não fazermos nada. Não fazer nada é quase sem risco, então é preciso um pouco de disposição para arriscar.”

Padrão de ataque dos hackers norte-coreanos

“Coreia do Norte raramente realiza ataques na camada de contratos inteligentes. Na maioria das vezes, o ataque não é ao código, mas às pessoas. Eles usam engenharia social para encontrar os detentores de chaves com privilégios especiais, obtendo acesso a computadores e chaves.”

“Não sei por que eles deixaram fundos em um endereço por dois dias sem mexer. Talvez tenham trabalhado três dias seguidos, descansado no domingo, e na segunda-feira chegaram atrasados. Essa é a nossa janela.”

Comparação entre Circle e Tether

“Vou ser bem claro: não há pessoas boas na Circle. Eles sempre optaram por não agir. Já a Tether, que constantemente congela fundos norte-coreanos, recuperou valores muito superiores a 70 milhões de dólares.”

“A origem da Circle não é nativa do cripto, é do Goldman Sachs. Portanto, sua lógica de decisão é: se congelar fundos norte-coreanos traz lucro, eles farão.”

Questões de segurança são o maior obstáculo para a implementação do setor cripto

“Com o nível tecnológico de hoje, podemos criar algo mais seguro que PayPal ou bancos. Pegando a infraestrutura de bancos e PayPal, removendo os custodiante, e criando uma versão não custodiante, a tecnologia já está pronta.”

“Não conheço ninguém que, após um ataque de phishing, tenha tido seu banco roubado. Mas conheço muitas pessoas que perderam cripto após phishing.”

“Tenho trabalhado por um bem público, tentando construir algo melhor que o governo, mas sempre esbarro na mesma questão: essa tecnologia ainda não permite que pessoas comuns usem com segurança.”

Ativando privilégios de Deus

Zack Guzman: Muitas pessoas estão acompanhando o desenvolvimento da situação. As controvérsias continuam. Vamos começar falando sobre a estrutura do Conselho de Segurança da Arbitrum. Você é membro do conselho e mencionou em seu post que essa é uma decisão muito séria. Pode explicar como tudo se desenrolou?

Griff Green: O Kelp DAO foi atacado, e há controvérsia se a responsabilidade é do próprio Kelp ou do LayerZero (protocolo de comunicação cross-chain), mas o impacto atingiu a Aave. Foi um ataque a uma ponte cross-chain, onde cerca de 300 milhões de dólares em tokens na camada 2 foram roubados pelos hackers, que transferiram os fundos para a rede principal do Ethereum e para a Aave na Arbitrum como garantia de empréstimos de ETH.

Depois de obter ETH, os hackers norte-coreanos deixaram os fundos na carteira por vários dias, o que nos deu uma janela de coordenação para resgatar. Como a Arbitrum ainda está em fase de desenvolvimento do Stage 1 rollup (com alguma segurança, mas ainda não totalmente descentralizada), há um Conselho de Segurança. É um multi-sig 9-de-12 (precisa de 9 assinaturas de 12 membros). Trabalhamos com a equipe do Seal 911 (organização de resposta a emergências de segurança na indústria cripto), usando privilégios de emergência para transferir os fundos de endereços controlados pelos hackers para um novo endereço inacessível por eles.

Fundamentos da blockchain

Zack Guzman: Eu não sabia que era necessário um threshold de 9-de-12, muitas pessoas também parecem não saber que a Arbitrum tem essa capacidade. Você provavelmente também não quer que os hackers norte-coreanos saibam que essa função existe.

Griff Green: Na verdade, essa informação é totalmente pública. Acho que há um equívoco comum sobre a tecnologia blockchain. A base do blockchain é código aberto, os nós rodando nos servidores e o consenso social.

Meu primeiro projeto foi o The DAO. Na época, levantamos 150 milhões de dólares, e fomos hackeados. Se quiser detalhes, pode ler “The Cryptopians” de Laura Shin, que dedica 100 páginas a esse episódio. No final, fizemos uma hard fork do Ethereum, algo bem parecido com o que estamos fazendo na Arbitrum agora: sem permissão do hacker, quebramos as regras e transferimos fundos da carteira do hacker.

Isso é possível na Ethereum, Bitcoin e qualquer outra cadeia. Porque a blockchain é essencialmente baseada no consenso social. Hoje, há discussões na comunidade do Bitcoin sobre congelar tokens de Satoshi, e se todos concordarem, isso pode acontecer.

Na Arbitrum, há uma diferença: não é preciso convencer todos os validadores, há duas opções: os detentores de tokens ARB podem votar para executar a mesma ação, ou o multi-sig 9-de-12 do conselho pode agir em emergências. Antes, o conselho só tinha privilégios para corrigir bugs e atualizar o protocolo, nunca para congelar fundos. Pelo que sei, essa é a primeira vez que um grande L2 consegue congelar fundos na cadeia.

Comparação entre os dois incidentes

Zack Guzman: Você passou pelo ataque ao DAO e por este recente. Como compara as duas experiências?

Griff Green: Essa foi bem mais fácil. O The DAO foi meu projeto, e fui hackeado com 150 milhões de dólares, uma pressão muito maior. Desta vez, não perdi fundos pessoais, apenas atuei como membro do conselho de segurança.

E a infraestrutura hoje é muito melhor, conseguimos entender o que aconteceu mais rápido. Quando o The DAO foi hackeado, nem sabíamos quem era o hacker. Agora, a equipe do Seal 911 conseguiu contatar o FBI, e podemos confirmar que o atacante é um hacker norte-coreano. Com a rede de contatos que construí ao longo dos anos, conseguimos obter informações fora do ecossistema.

Discussão de temas-chave

Zack Guzman: Na discussão de decisão, uma opção é não agir, deixando a Coreia do Norte com esses fundos. Mas há quem tema que isso possa criar um efeito de “friagem” no DeFi. Como foi o debate?

Griff Green: Primeiro, o desafio técnico. Passamos bastante tempo buscando uma solução técnica perfeita. Conseguir essa solução já é uma conquista, mérito dos heróis técnicos por trás.

Depois de confirmar a viabilidade técnica, veio a verdadeira discussão: podemos fazer, mas devemos fazer?

Na minha visão, o atacante é quase certamente da Coreia do Norte, envolvendo 72 milhões de dólares, e o risco de um impacto catastrófico no DeFi é real. Meu papel é defender a constituição da Arbitrum e fazer o que considero correto para ela. Ninguém nos culparia por não agir; não fazer nada é quase sem risco, então é preciso coragem para arriscar.

Alguns podem se sentir desconfortáveis, pensando que “9 pessoas podem fazer isso na cadeia”. Mas digo que, para fazer com que esses 9 especialistas altamente avessos ao risco concordem, após verificar todas as questões, é muito mais difícil do que parece. Pode ser até mais difícil do que coordenar um pool de mineração para congelar tokens de Satoshi.

O ponto-chave é que o sistema ainda é descentralizado. Isso se reflete não só na arquitetura, mas também no sentimento de mercado e no comportamento de preços. Se as pessoas não gostarem da nossa decisão, irão vender seus tokens. Essa é a verdadeira base do descentralizado, e o papel do mercado nesta questão é subestimado.

Zack Guzman: O Conselho de Segurança é eleito pelos detentores de tokens ARB. Este incidente pode criar um precedente que mude a percepção sobre ataques na comunidade Ethereum?

Griff Green: Uma coisa que é subestimada: hackers raramente deixam fundos em um endereço por dois dias sem mexer. Foi justamente por eles não moverem que tivemos a janela de ação. Antes, na Arbitrum, não me lembro de nenhum ataque com essa característica. Não sei por que eles não transferiram os fundos. Talvez tenham ficado cansados após três dias de atividade, descansaram no domingo, e na segunda-feira chegaram atrasados.

Por isso, acho que as pessoas ficarão mais abertas a essa possibilidade. Não porque a técnica se tornou mais fácil (sempre foi possível), mas porque viram uma ação concreta. O projeto L2Beat (avaliador de segurança de L2 apoiado pela Ethereum Foundation) deixa claro que o Conselho de Segurança tem privilégios de emergência. Hackers podem transferir fundos a qualquer momento, e podemos ser surpreendidos, mas tivemos sorte até agora.

Lições de segurança

Zack Guzman: Quais as lições de segurança?

Griff Green: Primeiro, melhorar a análise de riscos técnicos. Aave faz um bom trabalho ao controlar tokens de baixa capitalização e alta volatilidade, mas deixou os tokens de staking líquido (LST) muito frouxos. Esses tokens têm ETH como ativo subjacente, com risco econômico baixo, mas o risco técnico precisa de maior atenção. Não é só problema da Aave; protocolos como Morpho, Compound, Sky, todos precisam reforçar suas análises de risco técnico.

O Kelp DAO tem uma vulnerabilidade de ponto único de falha (single point of failure), que é criticada. Mas o problema maior é a segurança operacional (opsec), ou seja, se as chaves forem comprometidas. Coreia do Norte raramente realiza ataques na camada de contratos inteligentes; na maioria das vezes, o ataque não é ao código, mas às pessoas. Eles usam engenharia social para obter acesso a computadores e chaves com privilégios especiais.

Existem duas formas de lidar com isso: uma é reforçar os padrões de segurança. Se você gerencia fundos grandes, seu computador deve ter uma segurança equivalente à de um CEO de uma grande empresa de tecnologia. Mas o setor cripto ainda não atingiu esse nível.

Como lidar com os 72 milhões de dólares

Zack Guzman: Como será o procedimento com os 72 milhões de dólares recuperados? Vocês vão votar sobre isso?

Griff Green: Sim, isso será bem interessante. Os usuários do ecossistema Aave e Kelp DAO terão uma melhora na situação, mas a decisão final é difícil. Como em qualquer organização, coordenação interna é complexa, especialmente sem um decisor final claro.

Antes, Aave e Kelp DAO se responsabilizavam mutuamente, agora, com a inclusão da Arbitrum, são três DAOs que precisam colaborar. A parte boa é que há fundos reais envolvidos, e eles não podem mais apenas passar a responsabilidade um para o outro. Precisam criar um plano público. Como essa quantia de 72 milhões será devolvida aos usuários depende de votação dos detentores de tokens da Arbitrum.

Minha posição pessoal é que, a menos que seja 100% devolvido aos usuários, a Arbitrum DAO não deve liberar esses fundos.

Vale destacar que o Conselho de Segurança atua apenas em emergências. Transferimos os fundos para o endereço 0x0000DAO, cujo sufixo “DAO” foi escolhido intencionalmente, indicando que o dinheiro agora pertence à comunidade DAO. Sou também delegado da Arbitrum DAO, mas minha votação representa cerca de 5% do total — aproximadamente 10 milhões de votos de um total de 200 milhões. Existem muitos com peso maior.

Projetos em andamento

Zack Guzman: Fale sobre os projetos que você está desenvolvendo agora, relacionados à segurança.

Griff Green: Desde o ataque ao DAO, tenho trabalhado na construção de plataformas. Uma delas é a Giveth, uma plataforma de doações descentralizadas que ajuda ONGs a arrecadar fundos na Ethereum. Já vi essas organizações perderem dinheiro de todas as formas possíveis: enviando fundos para o endereço errado na cadeia errada, phishing, vulnerabilidades em contratos inteligentes, exchanges sendo hackeadas, etc.

Com o nível tecnológico de hoje, podemos criar algo mais seguro que PayPal ou bancos. A tecnologia já está pronta. Mas, na prática, não conheço ninguém que, após phishing, tenha tido sua conta bancária roubada, enquanto conheço muitas pessoas que perderam cripto por phishing.

Por isso, criamos o DAO Security Fund, com o objetivo de tornar a Ethereum mais segura que bancos. Temos cerca de 170 milhões de dólares em ativos staked, usando os rendimentos de staking como fonte de financiamento de longo prazo para segurança.

A primeira rodada de financiamento em larga escala começa amanhã. Em qf.giveth.io, você pode doar para projetos de segurança. Com base na sua contribuição, um fundo de 1 milhão de dólares será distribuído proporcionalmente entre os projetos.

Mas mais importante que o dinheiro é a descoberta de projetos. Existem centenas de ferramentas de segurança open source gratuitas, mas muitas pessoas nem sabem que elas existem. O objetivo desta rodada é reunir esses projetos em um só lugar, para que as pessoas possam encontrá-los. O financiamento ajuda esses projetos a sobreviver, mas o que realmente faz a diferença são os sinais de mercado: quais projetos são mais necessários, quais áreas merecem mais investimento.

Comparação entre Circle e Tether

Zack Guzman: Quando não há um mecanismo de Conselho de Segurança, os emissores centralizados de stablecoins (como Circle) são obrigados a lidar com a questão de congelar ou não ativos. Como você vê esses dois modelos?

Griff Green: Se você tem capacidade de resolver esse problema, tem a responsabilidade de fazê-lo. Como diz um velho ditado, tudo que o mal precisa para vencer é que as pessoas boas não façam nada.

Vou ser bem claro: na Circle, claramente não há pessoas boas. Eles sempre optaram por não agir. Já a Tether, que congela fundos norte-coreanos constantemente, recuperou valores muito superiores a 70 milhões de dólares.

Você pode pensar que o contrário deveria acontecer, mas acho que a razão é que a equipe fundadora da Tether é composta por pessoas nativas do DeFi e do cripto, que ainda preservam alguns valores tradicionais. A Circle, por outro lado, vem do Goldman Sachs, e sua lógica de decisão é: se congelar fundos norte-coreanos traz lucro, eles farão.

Não sou extremista da Tether, prefiro uma visão mais descentralizada. Mas, neste caso, a atuação da Circle é realmente difícil de entender. Talvez precisemos de uma venda coletiva de USDC para dar um feedback de mercado suficiente. Os ataques norte-coreanos não só prejudicam nossos investimentos, mas ameaçam a segurança do mundo real. Todos perdem por não impedir esses ataques.