На прошлой неделе KelpDAO был взломан хакерами почти на 300 миллионов долларов, став самым крупным негативным событием в сфере DeFi в этом году.

Украденный ETH сейчас разбросан по нескольким цепочкам, из которых примерно 30 765 оставлены на одном адресе в сети Arbitrum, стоимостью более 70 миллионов долларов.
Изначально казалось, что эта история уже завершена, но сегодня появился продолжение.
По данным цепочных служб безопасности PeckShield, деньги с хакерского адреса в сети Arbitrum были переведены несколько часов назад, но странно, что эти деньги были отправлены на странный адрес, почти полностью состоящий из нулей 0x00000...
Все тогда гадали, сам хакер отправил деньги в черную дыру, сжег их? Или у него совесть проснулась или его приняли в команду?
Нет, это не так.
Несколько часов назад на официальном форуме Arbitrum было опубликовано срочное сообщение о ситуации. Деньги хакера были переведены Советом по безопасности Arbitrum.
Но удивительно, что без знания приватного ключа хакера Совет не заморозил деньги и не имел права на перевод, а вместо этого прямо «от имени хакера» отправил команду на перевод.
Сам хакер об этом не знал, приватный ключ не был скомпрометирован, а записи в цепочке выглядят так, будто операцию произвел сам хакер.
Механизм этого заключается в том, что все межцепочные сообщения между Arbitrum и Ethereum проходят через мостовой контракт под названием Inbox. Совет по безопасности использовал экстренные полномочия для временного обновления этого контракта, добавив новую функцию:
отправлять межцепочные транзакции от имени любого кошелька, без необходимости иметь его приватный ключ.
Затем они использовали эту функцию для подделки сообщения, отправителем которого был кошелек хакера, с содержанием «перевести все мои ETH на замороженный адрес». После получения сообщение в сети Arbitrum было выполнено как обычно, что привело к странной сцене на скриншотах выше.
После перевода денег хакера этот контракт сразу же был понижен до исходной версии. Обновление, подделка, перевод и восстановление — все было выполнено за одну транзакцию в Ethereum. Другие пользователи и приложения остались полностью невредимы.
Такого прецедента в истории Arbitrum еще не было.
По сообщению форума, Совет по безопасности заранее подтвердил личность хакера правоохранительным органам, указав на группу Lazarus из Северной Кореи, которая в этом году является самой активной государственно-спонсируемой хакерской группой в сфере DeFi. Совет провел техническую оценку, убедившись, что это не повлияет на других пользователей, и только после этого принял меры.
Поскольку действия хакера были неправомерными, этот ход можно считать «не обвиняйте всех за недобросовестность». Что касается дальнейшей судьбы замороженных ETH, решение будет приниматься через голосование DAO Arbitrum в координации с правоохранительными органами.
Восстановление более 70 миллионов украденных средств — безусловно, хорошая новость. Но важно учитывать, что для этого потребовалось согласие 9 из 12 членов Совета по безопасности, что позволяет обойти все голосования по управлению и мгновенно обновлять любые ключевые контракты в цепочке.
Похвала за результат или опасения по поводу возможностей?
На данный момент реакция сообщества разделилась.
Одни считают, что Arbitrum справился отлично, защитив активы в критический момент, и это повысило доверие к L2. Другие задаются прямым вопросом: если 9 человек могут подписать и выполнить любые операции от имени любого, разве это еще децентрализация?
Я считаю, что обе стороны говорят о разных вещах.
Первая — о результате, вторая — о возможностях. Итог, безусловно, положительный: украденные 70+ миллионов возвращены. Но способность использовать мультиподписывание для изменения функций контрактов — это нейтральный инструмент; как его используют, зависит от управления советом.
Однако для большинства пользователей Arbitrum этот вопрос может быть менее важен, поскольку подобные экстренные полномочия есть и у других L2. Вероятно, у вас тоже есть аналогичный совет по безопасности, обладающий подобными возможностями. Это не уникальный выбор Arbitrum; на текущем этапе большинство L2 используют похожий универсальный дизайн.
С другой стороны, этот инцидент выявил более широкую картину.
Атакующие — это группа Lazarus из Северной Кореи, которая с начала года была связана минимум с 18 атаками в сфере DeFi. Три недели назад они украли 285 миллионов долларов у Drift Protocol, применяя совершенно другой метод.
Одновременно государственные хакеры постоянно совершенствуют свои методы, а L2 начинают использовать базовые полномочия для контрнаступления. Безопасность DeFi переходит в новую фазу — от «послефактных заморозок, публичных заявлений и молитв о вмешательстве белых хакеров» к более активным мерам.
Создав универсальный ключ для открытия адреса хакера, а затем его «растворив», они показали, что способны противостоять атакам. Иметь возможность реагировать на хакерские атаки — это уже достижение.
Если же поднимать вопрос о «полной недецентрализации» с философской точки зрения, то можно сказать очень много. Централизованные операции в криптоиндустрии встречаются часто, и этот случай — не исключение: речь идет о решении негативных ситуаций и их устранении, а не о создании новых проблем.
Если смотреть прагматично, то украдено 292 миллиона, из которых возвращено чуть более 70 миллионов — менее четверти. Остальные ETH разбросаны по другим цепочкам, на Aave есть более миллиарда долларов в плохих долгах, а владельцы rsETH пока не знают, сколько смогут вернуть.
Даже при использовании полномочий «Бога» в Arbitrum эта битва явно еще не окончена.