Члени ради арбітруму: чому ми активували божественні права для заморожування 72 мільйонів доларів?

编译 | Глибока хвиля TechFlow

Гість: Griff Green, член Ради безпеки Arbitrum

Ведучий: Zack Guzma

Оригінальне посилання:

Редакційний вступ

За останні кілька днів Ethereum і весь криптовалютний світ стежили за подією, коли Kelp DAO (протокол повторного залучення ліквідності) зазнав хакерської атаки, яка зачепила Aave (децентралізована платформа позик).

Рада безпеки Arbitrum застосувала екстрені повноваження, заморожуючи та повертаючи приблизно 72 мільйони доларів активів з підозрюваної адреси, контрольованої північнокорейськими хакерами. Це перший випадок у криптоіндустрії, коли «одна лінія L2 активувала «божественні» права для блокування коштів на певній адресі». Перед цим у спільноті точилися дискусії: хоча Arbitrum зробила правильну річ, можливість однієї ланцюгової лінії «переміщати активи з певної адреси» викликає сумніви щодо меж її можливостей і рівня децентралізації.

Гостем цього епізоду є один із членів Ради безпеки Arbitrum, який має право приймати такі рішення — Griff Green. Також Griff був учасником хакерської атаки на The DAO у 2016 році та одним із ініціаторів хардфорку Ethereum. У інтерв’ю він прямо критикує Circle (емітент USDC) за «тривалу бездіяльність» у ситуації з північнокорейськими хакерами, порівнюючи з активною заморожувальною політикою Tether, і вважає, що рішення Circle цілком зумовлені фінансовими звітами.

Ключові цитати

«Некоректне» уявлення про незмінність блокчейну

«Люди вважають, що блокчейн незмінний, але насправді основа його роботи — суспільна згода. Якщо всі погоджуються на оновлення протоколу, правила можна змінити. Ethereum і Bitcoin — тому приклад.»

«Саме тому зараз у спільноті Bitcoin обговорюють можливість заморожування токенів Сатоші. Це цілком технічно можливо, адже блокчейн не є абсолютною незмінною системою, він має свої правила.»

Справжній фундамент децентралізації — ринкова поведінка

«Якщо людям не сподобається наше рішення, вони продадуть свої токени. Якщо мережа Bitcoin почне узгоджено красти гроші, власники теж їх продадуть. Справжній фундамент децентралізації — ринкова поведінка, і роль ринкових динамік у цьому дуже недооцінена.»

«Чесно кажучи, ніхто не звинуватить нас у тому, що ми нічого не зробили. Нічого не робити — майже без ризику, тому потрібно мати трохи сміливості для ризику.»

Модель атаки північнокорейських хакерів

«Північна Корея рідко атакує на рівні смарт-контрактів. Зазвичай вони атакують не код, а людей. Вони використовують соціальну інженерію, щоб знайти ключових власників з особливими правами, отримати доступ до їхніх комп’ютерів і ключів.»

«Я не розумію, чому вони тримали кошти на одній адресі два дні без руху. Можливо, вони працювали три дні, у неділю відпочивали, а в понеділок запізнилися. Це наш шанс.»

Порівняння Circle і Tether

«Я скажу прямо: у Circle явно немає хороших людей. Вони постійно обирають бездіяльність. А Tether постійно заморожує північнокорейські кошти, повернувши понад 70 мільйонів доларів.»

«Звісно, може здатися, що навпаки, але причина в тому, що команда Tether — це люди, які народилися у DeFi і crypto, вони зберегли деякі старі цінності крипто. Circle ж виникло у Goldman Sachs, і їх логіка — як виглядає звітність. Якщо заморожування північнокорейських коштів приносить їм прибуток, вони це зроблять.»

Безпека — найбільша перешкода для впровадження крипто

«З сучасним рівнем технологій ми цілком можемо створити щось безпечніше за PayPal і банки. Взяти інфраструктуру банків і PayPal, прибрати довірених посередників і зробити некастодіальну версію — технічні можливості вже є.»

«Я не знаю жодної людини, у якої б після фішингу зламали банківський рахунок і вкрали гроші. Але знаю багато, хто втратив крипту через фішинг.»

«Я постійно працюю на благо спільноти, намагаючись створити щось краще за уряд, але мене зупиняє одна й та сама проблема: ця технологія ще не дозволяє звичайним людям безпечно її використовувати.»

Активація «божественних» прав

Zack Guzman: Багато хто стежить за розвитком подій. Постійно виникають суперечки. Почнемо з архітектури Ради безпеки Arbitrum. Ви — її член, у своїх постах ви згадуєте, що це дуже серйозне рішення. Можете розповісти, як розгорталася ця історія?

Griff Green: Kelp DAO зазнав атаки, і відповідальність за це — чи саме Kelp DAO, чи LayerZero (протокол міжланцюгових повідомлень) — ще дискутується, але наслідки зачепили Aave. Це була атака через міжланцюговий міст: з лінії Layer 2 зняли активи на суму близько 300 мільйонів доларів, і хакери перетворили їх у заставу на Ethereum і Arbitrum у Aave для позик ETH.

Після отримання ETH північнокорейські хакери тримали кошти кілька днів без руху, що дало нам час для координації. Arbitrum — ще в стадії розробки Stage 1 rollup (з певним рівнем безпеки, але ще не повністю децентралізований), має раду безпеки. Це мультипідпис 9 з 12 (для виконання потрібно 9 підписів із 12). Ми співпрацювали з командою Seal 911 (організація швидкого реагування у криптоіндустрії), використовуючи екстрені повноваження, щоб перевести кошти з адреси під контролем північнокорейських хакерів на нову адресу, до якої вони не матимуть доступу.

Основи блокчейну

Zack Guzman: Я раніше не знав, що потрібно 9 з 12 для таких дій, і здається, багато хто не знає, що Arbitrum має таку можливість. Мабуть, ви не хотіли б, щоб північнокорейські хакери знали про цю функцію.

Griff Green: Насправді це публічно. Я вважаю, що у людей є неправильне уявлення про технологію блокчейн. Основи — це відкритий код, вузли, що працюють на серверах, і суспільна згода.

Мій перший проект — The DAO. Тоді ми зібрали 150 мільйонів доларів, і нас зламали. Якщо хочете детальніше — подивіться книгу Лори Шин «The Cryptopians», там 100 сторінок про цю історію. В кінці ми зробили хардфорк Ethereum, що дуже схоже на те, що зараз робимо на Arbitrum: без дозволу хакера порушили правила і перевели кошти з його гаманця.

Це можливо на Ethereum і Bitcoin, і на будь-якій ланцюговій системі. Адже блокчейн — це суспільна згода. Зараз у спільноті Bitcoin обговорюють можливість заморожування токенів Сатоші, і якщо всі погодяться, це цілком реально.

На Arbitrum трохи інакше: не потрібно переконувати всіх вузлів, а можна зробити двома шляхами: або власники ARB голосують і виконують таку операцію, або 9 з 12 членів ради безпеки через мультипідпис у разі екстреної ситуації. Раніше повноваження ради використовувалися лише для виправлення багів і оновлення протоколу, ніколи — для заморожування коштів. Наскільки мені відомо, це перший випадок, коли велика лінія L2 заморожує активи на ланцюгу.

Порівняння двох подій

Zack Guzman: Ви пережили хакерську атаку на DAO і цю подію. Як порівнюєте?

Griff Green: Це набагато легше. The DAO — мій власний проект, і тоді я втратив 150 мільйонів доларів, був набагато під тиском. Цього разу я особисто не зазнав втрат, лише як член ради безпеки допомагав.

Зараз інфраструктура набагато краще, швидше розбираємося, що сталося. Тоді ми навіть не знали, хто хакер. Цього разу Seal 911 контактували з FBI, і майже точно знають, що атакували північнокорейські хакери. Ми отримали цю інформацію через роки роботи у тіньовій мережі.

Обговорення ключових питань

Zack Guzman: У процесі ухвалення рішення одне з можливих — залишити кошти у північнокорейських хакерів. Але є й побоювання, що це може спричинити ефект охолодження для DeFi. Як проходила дискусія?

Griff Green: Спершу — технічна складність. Ми довго шукали ідеальне рішення, і знайти його — вже досягнення, заслуга технічних експертів.

Після підтвердження технічної можливості починається справжня дискусія: чи варто це робити?

З моєї точки зору, атака, ймовірно, з боку Північної Кореї, на 72 мільйони доларів — це ризик для існування DeFi. Моя відповідальність — захищати конституцію Arbitrum і робити те, що вважаю правильним. Ніхто не звинуватить нас у бездіяльності — майже без ризику, тому потрібно мати трохи сміливості.

Деякі незадоволені: «9 людей можуть таке зробити у ланцюгу». Але я скажу: щоб 9 дуже обережних експертів дійшли згоди і зробили цю операцію, потрібно пройти через багато перевірок і потенційних проблем — це набагато складніше, ніж здається. Це важче, ніж узгодити замороження токенів Сатоші.

Ключове — система залишається децентралізованою. Це не лише архітектура, а й ринкові настрої та цінова поведінка. Якщо людям не сподобається наше рішення, вони продадуть токени. Це — справжній фундамент децентралізації, і роль ринкових динамік у цьому дуже недооцінена.

Zack Guzman: Радбез обирається голосами власників ARB. Чи стане цей випадок прецедентом і змінить ставлення до хакерських інцидентів у екосистемі Ethereum?

Griff Green: Є одна річ, яку недооцінюють: хакери рідко тримають кошти на одній адресі більше двох днів без руху. Саме тому у них з’явився шанс. Раніше я не бачив подібних випадків у Arbitrum. Не знаю, чому вони не перекинули кошти. Можливо, вони працювали три дні, у неділю відпочивали, у понеділок запізнилися.

Тому я думаю, що люди стануть більш відкритими до таких дій. Не через технічну можливість (це завжди можливо), а тому, що побачили реальну операцію. На L2Beat (проєкт з оцінки безпеки L2, підтриманий Ethereum Foundation) чітко написано, що рада безпеки має екстрені повноваження для оновлень. Хакери можуть перекинути кошти будь-коли, і ми можемо зазнати поразки, але нам пощастило.

Висновки щодо безпеки

Zack Guzman: Що можна винести з уроків безпеки?

Griff Green: По-перше, потрібно краще аналізувати технічні ризики. Aave добре контролює доступ до низьковартісних, високоволатильних токенів, але з токенами на основі стейкінгу (LST) — занадто м’яко. Їхня підкладка — ETH, і економічний ризик низький, але технічний — вимагає посиленої перевірки. Це не лише проблема Aave, а й Morpho, Compound, Sky та інших протоколів кредитування — усі мають посилювати технічний аналіз ризиків.

Наступна проблема — один із системних вузлів (single point of failure). Це критична точка, яку потрібно захищати. Але ще важливіше — безпека операційної діяльності (opsec), тобто захист ключів. Північнокорейці рідко атакують на рівні смарт-контрактів, здебільшого — через соціальну інженерію, отримуючи доступ до комп’ютерів і ключів із особливими правами.

Два підходи: підвищувати стандарти безпеки — наприклад, якщо керуєш великими сумами, рівень безпеки має бути як у керівника великої корпорації. Але у криптоіндустрії ще не досягли такого рівня.

Що робити з 72 мільйонами доларів

Zack Guzman: Що далі з поверненими 72 мільйонами доларів? Це ваше рішення через голосування?

Griff Green: Так, це буде цікаво. Вдосконалення ситуації для користувачів Aave і Kelp DAO — очевидне, але конкретний план ще потрібно узгодити. Внутрішня координація — складна, як і з урядами чи великими організаціями, особливо без чітко визначеного остаточного рішення.

Раніше Aave і Kelp DAO звинувачували одне одного, тепер до цього додався Arbitrum — і потрібно три DAO для спільної роботи. Добра новина — є реальні кошти, і тепер вони не можуть просто перекладати відповідальність один на одного, а мають публічно розробляти план. Як саме повернути цю суму — вирішить голосування власників токенів Arbitrum DAO.

Мій особистий погляд — не варто випускати цю суму, якщо вона не буде повністю повернена користувачам.

Зверніть увагу, що рада безпеки діє лише у надзвичайних ситуаціях. Ми спеціально переадресували кошти на адресу 0x0000DAO, де «DAO» — свідомий вибір, означає, що ці гроші тепер належать спільноті DAO. Я також є делегатом Arbitrum DAO, але голосів у мене близько 10 мільйонів із 200 мільйонів — тобто приблизно 5%. Є багато людей із більшим впливом.

Проекти, над якими працюю

Zack Guzman: Розкажіть про свої поточні проєкти, що пов’язані з безпекою.

Griff Green: Після подій з DAO я продовжую працювати у цій галузі. Один із моїх проєктів — Giveth (децентралізована платформа для пожертв), яка допомагає багатьом некомерційним організаціям збирати кошти у Ethereum. Я бачив, як ці організації втрачають гроші різними способами: від неправильних адрес і неправильних ланцюгів, до фішингу, вразливостей у смарт-контрактах і зломів бірж.

З сучасним рівнем технологій ми цілком можемо створити щось безпечніше за PayPal і банки. Технічно — вже можливо. Але я не знаю жодної людини, у якої б після фішингу зламали банківський рахунок і вкрали гроші. А от багато хто втратив крипту через фішинг.

Тому ми створили DAO Security Fund — фонд безпеки для Ethereum. Мета — зробити Ethereum безпечнішим за банки. У нас близько 170 мільйонів доларів у стейкінгу, і ці доходи використовуємо як довгострокове джерело фінансування безпеки.

Завтра стартує перший великий раунд фінансування. На qf.giveth.io можна пожертвувати на безпекові проєкти. Залежно від внеску, 1 мільйон доларів буде розподілений між різними проектами.

Але важливіше за гроші — пошук проєктів. На ринку є сотні безкоштовних відкритих інструментів безпеки, але багато хто навіть не знає про їх існування. Мета цього етапу — зібрати їх у одному місці, щоб люди могли їх знаходити. Гроші допомагають цим проєктам вижити, але справжній вплив мають ринкові сигнали: які проєкти найбільш потрібні, куди варто вкладати більше.

Порівняння Circle і Tether

Zack Guzman: Коли механізму ради безпеки немає, централізовані емітенти стабільних монет (наприклад, Circle) змушені стикатися з питанням заморожування активів. Як ви це бачите?

Griff Green: Якщо у вас є можливість вирішити цю проблему — ви зобов’язані це зробити. Є стара приказка: зло перемагає, коли добрі люди нічого не роблять.

Я скажу прямо: у Circle явно немає хороших людей. Вони постійно обирають бездіяльність. А Tether постійно заморожує північнокорейські кошти, і сума повернутих активів значно перевищує 70 мільйонів доларів.

Може здатися, що навпаки, але причина в тому, що команда Tether — це люди, які народилися у DeFi і crypto, і зберегли деякі старі цінності. Circle ж виникло у Goldman Sachs, і їхня логіка — як виглядає звітність. Якщо заморожування північнокорейських коштів приносить їм прибуток — вони це зроблять.

Я не є фанатом Tether, більше схиляюся до ідеї децентралізації. Але поведінка Circle — дивна. Можливо, нам потрібно колективно продавати USDC, щоб дати їм достатній зворотній зв’язок. Атаки на північнокорейських хакерів не лише руйнують наші інвестиції, а й загрожують безпеці у реальному світі. Всі страждають, бо не зупиняємо їх.

Zack Guzman: Політичність у світі блокчейну набагато складніша, ніж здається.

Griff Green: Так. Ви думаєте, що це лише фінанси і технології, але там багато політики. Обговорюють саморегуляцію, побудову суспільства на нових засадах — дуже глибокі дискусії. Але коли я намагаюся перенести ці ідеї у реальний світ, стикаюся з безпековими проблемами.

Атаки північнокорейців на великі протоколи — один із аспектів. Але є й інші — наприклад, шахрайські дзвінки від імітатора Coinbase, проблеми з UX, і багато інших. Не всі атаки — державного рівня, багато з них — через наші власні технічні недоліки.

Я прийшов у крипто у 2013 році, отримав перший у галузі магістр у 2016. Постійно працюю на благо спільноти, намагаючись створити щось краще за уряд, але мене зупиняє одна й та сама проблема: ця технологія ще не дозволяє звичайним людям безпечно її використовувати. Але у нас є великий шанс змінити цю ситуацію.