Arbitrum diễn một vở kịch: 9 người giả làm hacker, “đánh cắp” lại 70 triệu đô la

$BTC ‌
Tuần trước, KelpDAO bị nhóm hacker Triều Tiên Lazarus Group đánh cắp gần 3 tỷ USD, trong đó hơn 30.000 ETH còn lại trên chuỗi Arbitrum, trị giá hơn bảy mươi triệu đô la. Mọi người đều nghĩ số tiền này đã mất.
$ETH ‌
Kết quả, Hội đồng an ninh Arbitrum đã ra tay. 9 người ký một đa chữ ký, nâng cấp tạm thời hợp đồng cầu nối chuỗi chéo, thêm một chức năng thần thánh: gửi giao dịch dưới danh nghĩa bất kỳ ví nào, không cần khóa riêng.
$RAVE ‌
Sau đó họ giả mạo một tin nhắn, gửi từ địa chỉ hacker, nội dung: “Chuyển toàn bộ ETH của tôi đi.” Chuỗi tự động thực thi, tiền vào địa chỉ phong tỏa. Nâng cấp, giả mạo, chuyển khoản, khôi phục, một giao dịch hoàn tất. Hacker từ đầu đến cuối không biết chuyện gì xảy ra, ghi chú trên chuỗi trông như chính hắn thao tác.

Nói dễ hiểu: 9 người họp, giả làm hacker, “đánh cắp” lại 70 triệu đô la.

Kết quả tốt, cách làm táo bạo

Cộng đồng tranh cãi dữ dội. Một bên nói làm tốt, bảo vệ tài sản; bên kia đặt câu hỏi nghiêm trọng — chỉ 9 người có thể ký tên chuyển tiền cho bất kỳ ai, vậy còn gọi là phi tập trung? Thành viên Hội đồng an ninh Arbitrum, Griff Green, trả lời rằng quyết định này không phải làm tùy tiện, các thành viên đã tranh luận “vô số giờ” từ các góc độ kỹ thuật, thực hành, đạo đức, chính trị, rồi mới bỏ phiếu.

Nhưng vấn đề không phải là họ tranh luận bao lâu, mà là họ có quyền đó. 9 người ký, nâng cấp chính hợp đồng không trễ hạn. Lần này để truy bắt hacker, lần sau thì sao?

“Phi tập trung” ngày càng giống như câu nói xã giao

Thú vị là, Arbitrum không đặc biệt. Hiện tại, hầu hết các L2 phổ biến đều giữ quyền nâng cấp khẩn cấp tương tự, Optimism có hội đồng an ninh 12 người, Polygon có đa chữ ký để vá lỗi, MakerDAO có quy trình tắt khẩn cấp. Chuỗi bạn đang dùng cũng có khả năng có một nhóm người như vậy, nắm giữ chìa khóa vạn năng. Đây không phải sáng chế độc quyền của Arbitrum, mà là tiêu chuẩn của L2 hiện tại.

Chìa khóa dùng xong rồi, đã “giải ngân” chưa?

Arbitrum nói rằng sau khi nâng cấp hợp đồng xong sẽ hạ cấp về bản gốc. Chìa khóa được tạo ra, mở một lần cửa, rồi “giải ngân”. Nhưng khả năng tạo chìa khóa vẫn còn đó. Lần tới, 9 người có thể tạo thêm một chìa nữa không? Dĩ nhiên là có. Đó chính là ý nghĩa của Hội đồng an ninh — có thể ra tay trong tình huống khẩn cấp. Nhưng “khẩn cấp” do ai định nghĩa? Chính họ.

Thực tế hơn

Số ETH bị đánh cắp là 292 triệu USD, đã thu hồi được hơn 70 triệu USD, chưa đến một phần tư. Phần còn lại vẫn nằm rải rác trên các chuỗi khác, các khoản nợ xấu hơn 100 triệu USD trên Aave vẫn chưa xử lý xong. Cuộc chiến này còn dài.

Kết quả tốt, nhưng cách làm táo bạo. Lần này để truy bắt hacker, lần sau sẽ làm gì?