Безпрецедентно! 12 людей натиснули кнопку паузи, і "децентралізація" $ETH L2 була розголена, чи в безпеці ваші активи?

Кілька днів тому Kelp DAO було викрадено 290 мільйонів доларів США, ставши найбільшим криптовикраденням цього року. Зловмисників звинувачують у причетності до Північної Кореї, Lazarus Group.

На другий день після події, група з 12 осіб створила чат, який безпосередньо переписав блокчейн Arbitrum, заморозивши активи на суму 71 мільйон доларів у $ETH. Офіційно це назвали «надзвичайною мірою безпекової комісії», оскільки правоохоронні органи надали інформацію про особу зловмисника.

Технічна реальність така: лише 9 підписів потрібні для зміни балансу рахунку на «децентралізованому» Layer2 ланцюгу, без згоди власника рахунку.

Вкрадені rsETH швидко обміняли на $ETH. Зміни балансу зловмисницького гаманця виглядають так: 19 квітня максимум близько 260 мільйонів доларів, 20 квітня знизився до 240 мільйонів, 21 квітня — приблизно 175 мільйонів доларів. На момент аналізу підтверджено замороження активів на 71 мільйон доларів, що становить близько 25% від загальної суми; зловмисники все ще контролюють приблизно 175 мільйонів доларів, що становить 60%; решта невідомо, куди поділися.

У основній мережі Ethereum жодна комісія не може заморозити адресу. Але в Arbitrum, комітет має цю владу і здійснює її.

Цей комітет обрано управлінням Arbitrum DAO, він складається з 12 членів, рішення ухвалюються 9 голосами, з періодичністю кожні півроку. Вони мають прямий адміністративний доступ до всіх системних контрактів.

Звичайний процес оновлення триває близько 13 днів публічного оголошення. Процес безпеки комітету — 9 підписів, негайне виконання, без затримки. Документи чітко прописують, що вони мають прямий доступ до всіх прав, без тайм-локів і без голосування.

Конкретні дії не виконуються безпосередньо на Arbitrum. Комітет ініціює виклики з Ethereum, тимчасово змінює ядро обробки міжланцюгових повідомлень Arbitrum. Відредагована версія пропускає перевірку підпису, дозволяючи виконавцю вказувати будь-яку адресу для відправки.

Вони підробили підпис зловмисника, ініціювали переказ «від зловмисника до повернення гаманця», використовуючи внутрішню функцію, яка дозволяє виконувати транзакції без перевірки підпису. Було переведено 30 766 $ETH. Потім змінений код був негайно відновлений.

У всьому процесі приватний ключ зловмисників ніколи не використовувався. Вони лише тимчасово переписали правила, підробили еквівалентний підпис для переказу, і повернули правила назад. Це багаторазово використовувана влада, і історія ланцюга не була скасована.

Відновлення коштів користувачів — це справедливий вчинок, і комітет діє відповідно до задуму. Але головне питання: хто наступного разу зможе запобігти зловживанню цією владою?

Зі зростаючим геополітичним тиском, посиленою регуляторною політикою, державними секретними документами або судовими наказами — достатньо 9 підписів. Вимагати підпису у родини одного з членів, щоб зібрати ще 8 — теж можливо.

Інструменти для повернення викрадених 71 мільйона доларів також можуть бути використані для конфіскації інших активів у спорах. Інструменти не мають моральної оцінки. Єдина межа між активами користувачів і конфіскацією — це мораль, особиста безпека та юридичні ризики 12 осіб. Ми більше не довіряємо математиці і коду, а довіряємо 12 звичайним людям.

Це не проблема лише Arbitrum. $OP, Base, Polygon zkEVM, zkSync Era, StarkNet, Scroll, Linea — кожен Layer2, який претендує на «децентралізоване масштабування Ethereum», має комітет, здатний заморозити кошти.

$ETH L1 — це основні публічні ланцюги, які технічно не можуть заморожувати активи, оскільки не мають порядкувальника і адміністративних ключів. Жоден L2 цього зробити не може. Весь екосистемний ланцюг Layer2 проголошує «усиновлення без довіри Ethereum», але структурно не може його справді реалізувати.

Всі Rollup — по суті, це швидка база даних, повільний канал для зняття коштів і група з ключами.

Створення безпечної комісії — це баланс між інженерною реальністю: можливо, в ній є вразливості, які потрібно швидко виправити; історія системи доказів шахрайства вже мала проблеми; збої порядкувальника потребують людського втручання.

Якщо застосувати повільний темп оновлень Ethereum до експериментальної криптографії, Rollup може не встигнути і померти раніше, ніж стане зрілим.

Але в галузі рідко обговорюють це як баланс. Ви чуєте, що «Rollup успадкував безпеку Ethereum». А насправді: «Rollup успадкував безпеку Ethereum, якщо ті 12 осіб з адміністративними ключами не здадуться».

Підписуйтеся на мене: отримуйте актуальні аналітики та інсайти крипторинку! $BTC $ETH $SOL

#Gate13周年现场直击 #WCTC змагання з торгівлі — розподіл 8 мільйонів USDT #відскоку біткойна