Arbitrum joue une pièce : 9 personnes font semblant d’être des hackers, et récupèrent 70 millions de dollars

$BTC ‌
La semaine dernière, KelpDAO a été volé près de 300 millions de dollars par le groupe de hackers nord-coréen Lazarus, dont plus de 30 000 ETH restent sur la chaîne Arbitrum, valant plus de 70 millions de dollars. Tout le monde pensait que cet argent était perdu.
$ETH ‌
Mais le Conseil de sécurité d’Arbitrum est intervenu. 9 personnes ont signé une multisignature, ont temporairement mis à jour le contrat du pont inter-chaînes, et ont ajouté une fonction divine : lancer des transactions au nom de n’importe quel portefeuille, sans clé privée.
$RAVE ‌
Ensuite, ils ont falsifié un message, avec l’adresse du hacker comme expéditeur, contenant : « Transfère tout mon ETH. » La chaîne a exécuté l’ordre, et l’argent a été envoyé à une adresse de gel. Mise à jour, falsification, transfert, restauration, une seule transaction pour tout faire. Le hacker ne sait rien, il ne voit que la transaction sur la blockchain, qui semble venir de lui.

En langage simple : 9 personnes ont organisé une réunion, ont fait semblant d’être des hackers, et ont “récupéré” 70 millions de dollars.

Le résultat est bon, la méthode audacieuse

La communauté s’est divisée. Certains disent que c’est une belle opération, qui protège les actifs ; d’autres posent une question cruciale — 9 personnes peuvent signer pour transférer l’argent de n’importe qui, c’est ça la décentralisation ? Griff Green, membre du Conseil de sécurité d’Arbitrum, a répondu que cette décision n’a pas été prise à la légère, que les membres ont débattu “des heures et des heures” sous tous les angles : technique, pratique, moral, politique, avant de voter.

Mais le problème n’est pas la durée du débat, c’est qu’ils ont ce pouvoir. 9 signatures, mise à jour instantanée du contrat principal. La dernière fois, c’était pour traquer un hacker, et la prochaine ?

Le mot “décentralisation” devient de plus en plus une formule creuse

Ce qui est intéressant, c’est qu’Arbitrum n’est pas une exception. La plupart des L2 actuels disposent d’un mécanisme d’urgence pour mise à jour. Optimism a un conseil de sécurité de 12 personnes, Polygon peut appliquer des multisignatures pour des correctifs, MakerDAO a une procédure d’arrêt d’urgence. La chaîne que vous utilisez a probablement aussi un groupe de personnes avec une clé universelle. Ce n’est pas une invention exclusive d’Arbitrum, c’est la norme pour les L2 à l’heure actuelle.

La clé est épuisée, la chaîne a été “fusionnée” ?

Arbitrum dit que, après la mise à jour du contrat, ils sont revenus à la version initiale. La clé a été créée, une fois la porte ouverte, et l’argent a été “fusionné”. Mais la capacité de “créer des clés” existe toujours. La prochaine fois, ces 9 personnes pourront-elles en créer une autre ? Bien sûr. C’est là toute la raison d’être du Conseil de sécurité — pouvoir intervenir en cas d’urgence. Mais qui définit ce qu’est une urgence ? C’est eux.

Une vision plus réaliste

Les 292 millions de dollars volés ont été récupérés à hauteur de 70 millions, moins d’un quart. Le reste des ETH est dispersé sur d’autres chaînes, et plus d’un milliard de dollars de créances douteuses sur Aave n’ont pas encore été réglés. La guerre n’est pas finie.

Le résultat est bon, mais la méthode est audacieuse. La dernière fois, c’était pour traquer un hacker, et la prochaine, que feront-ils ?
#Kelp定因，Aave坏账最高$3.4亿 #恐慌贪婪指数
​​#美伊二轮谈判进展 #KelpDAO跨链桥遭攻击