Арбитрум сыграл спектакль: 9 человек притворились хакерами и "вернули" 70 миллионов долларов

$BTC ‌
На прошлой неделе KelpDAO был украден северокорейской группой Lazarus Group почти на 300 миллионов долларов, из которых более 30 тысяч ETH остались на цепочке Arbitrum, стоимостью более семи миллионов долларов. Все думали, что эти деньги пропали.
$ETH ‌
Но безопасность Arbitrum вмешалась. 9 человек подписали мультиподпись, временно обновили контракт межцепочечного моста и добавили волшебную функцию: инициировать транзакцию от имени любого кошелька без приватного ключа.
$RAVE ‌
Затем они сфальсифицировали сообщение, отправитель — адрес хакера, содержание: «Переведите все мои ETH». В цепочке всё выполнилось, деньги попали на замороженный адрес. Обновление, подделка, перевод, восстановление — одна транзакция. Хакер ничего не понял, что происходит, записи в блокчейне выглядят так, будто он сам всё делал.

Проще говоря: 9 человек собрались, притворились хакерами и "вернули" 70 миллионов долларов.

Результат хороший, подход смелый

Сообщество взорвалось. Одни говорят, что сделали всё правильно, защитили активы; другие задают важный вопрос — 9 человек могут подписывать транзакции от имени любого, это что, децентрализация? Член безопасности Arbitrum Griff Green ответил, что такое решение принималось не спонтанно, участники обсуждали "бесчисленные часы" с технической, практической, этической и политической точек зрения, и только после этого проголосовали.

Но проблема не в том, сколько они обсуждали, а в том, что у них есть такая власть. 9 человек подписывают, мгновенно обновляют основной контракт. В этот раз — чтобы поймать хакера, а в следующий?

Слово "децентрализация" всё больше похоже на пустые слова

Интересно, что Arbitrum не уникален. В настоящее время большинство L2 почти все сохраняют подобные полномочия для экстренного обновления: Optimism имеет 12 человек в комитете безопасности, Polygon — мультиподписи для патчей, MakerDAO — процедуру экстренного отключения. Вероятно, и в вашей цепочке тоже есть такая группа людей, держащая универсальный ключ. Это не изобретение Arbitrum, а стандарт для L2 на данном этапе.

Ключи закончились, всё слито?

Arbitrum заявил, что после обновления контракта он вернётся к исходной версии. Ключи создали, дверь открыли — и всё, деньги ушли. Но сама возможность создавать ключи всё ещё есть. В следующий раз 9 человек смогут сделать ещё один ключ? Конечно, смогут. Именно для этого и существует безопасность — в экстренных случаях они могут вмешаться. Но кто определяет, что такое "экстренно"? Они сами.

Более реалистично

Украдено 292 миллиона долларов, возвращено чуть более 70 миллионов — менее четверти. Остальные ETH разбросаны по другим цепочкам, более миллиарда долларов в долгах на Aave ещё не решены. Эта битва ещё не окончена.

Результат хороший, подход смелый. В этот раз — чтобы поймать хакера, а в следующий — что они сделают?
#Kelp定因，Aave坏账最高$3.4亿 #恐慌贪婪指数