Arbitrum, 해커의 이름으로, 7천만 달러의 도난 자금을 '훔쳐' 되찾다

원문 작성자: Shenchao TechFlow

지난주 KelpDAO가 해커에게 약 30억 달러를 도난당해 올해 현재까지 DeFi 분야 최대의 부정적 보안 사건이 되었습니다.

도난당한 ETH는 현재 여러 체인에 흩어져 있으며, 그중 약 30,765개는 Arbitrum 체인의 한 주소에 남아 있어 가치가 7천만 달러가 넘습니다.

이 이야기는 이미 끝난 줄 알았는데, 오늘 속편이 나왔습니다.

체인 보안 기관 PeckShield의 모니터링에 따르면, Arbitrum 체인의 해커 주소에 있던 자금은 몇 시간 전에 이미 이체되었지만, 이상하게도 이 돈은 거의 0으로만 보이는 0x00000...라는 이상한 주소로 옮겨졌습니다.

당시 모두가 추측하길, 해커가 스스로 돈을 블랙홀 주소에 넣어 태운 걸까? 아니면 양심의 가책을 느껴서, 아니면 회유당한 걸까?

둘 다 아닙니다.

몇 시간 전, Arbitrum 공식 포럼에 긴급 조치 공지가 게시되어 상황을 설명했습니다. 해커의 돈은 Arbitrum의 안전 위원회가 옮긴 것입니다.

하지만 놀랍게도, 해커 주소의 개인 키를 모르는 상황에서 Arbitrum 위원회는 해커의 돈을 동결하지도, 이체 권한도 없었지만, 직접 "해커의 이름으로" 이체 명령을 발송했습니다.

해커 본인은 알지 못했고, 개인 키도 유출되지 않았으며, 체인 기록은 마치 해커가 직접 조작한 것처럼 보입니다.

이 작업을 가능하게 한 원리는, Arbitrum과 이더리움 사이의 모든 크로스체인 메시지는 Inbox라는 브리지 컨트랙트를 거쳐야 한다는 점입니다. 안전 위원회는 긴급 권한을 동원해 이 컨트랙트를 임시로 업그레이드하고 새로운 함수를 추가했습니다:

임의의 지갑 주소 명의로 크로스체인 거래를 발송할 수 있지만, 해당 지갑의 개인 키가 필요하지 않습니다.

그런 다음 그들은 이 함수를 사용해 메시지를 위조했는데, 발신자를 해커 지갑으로 작성하고 내용은 "내 ETH를 모두 동결 주소로 이체하라"였습니다. Arbitrum 체인이 이를 받아 평소처럼 실행했고, 그래서 위의 체인 이체 스크린샷에서 보이는 이상한 장면이 발생한 것입니다.

해커의 돈을 이체한 후, 이 컨트랙트는 즉시 원래 버전으로 다운그레이드되었습니다. 업그레이드, 위조, 이체, 복구가 모두 하나의 이더리움 트랜잭션에 패키징되어 완료되었습니다. 다른 사용자와 애플리케이션은 전혀 영향을 받지 않았습니다.

이러한 조치는 Arbitrum 역사상 전례가 없습니다.

포럼 공지에 따르면, 안전 위원회는 사전에 법 집행 기관과 해커 신원을 확인했으며, 북한의 Lazarus Group을 지목했습니다. 이는 올해 DeFi 분야에서 가장 활발한 국가급 해커 조직입니다. 위원회는 기술 평가를 거쳐 다른 사용자에게 영향을 미치지 않음을 확인한 후에야 조치를 취했습니다.

해커가 먼저 잘못을 저질렀기 때문에, 이 방법은 약간 "다른 사람들이 무도를 지키지 않는 것을 탓하지 마라"는 의미입니다. 동결된 ETH의 후속 처리 방법에 대해서는 Arbitrum의 DAO 거버넌스 투표를 거쳐 법 집행 기관과 조정해야 합니다.

7천만 달러 이상의 도난 자금을 회수할 수 있다는 것은 물론 좋은 일입니다. 하지만 이 일을 가능하게 한 전제 조건은 주목할 가치가 있습니다. 안전 위원회 12명 중 9명이 서명하면 모든 거버넌스 투표를 우회하고, 지연 없이 체인의 모든 핵심 컨트랙트를 업그레이드할 수 있습니다.

결과는 칭찬하지만, 능력은 우려?

현재 커뮤니티의 이 사건에 대한 반응은 분열되어 있습니다.

일부는 Arbitrum이 잘했다고 생각하며, 결정적 순간에 자산을 보호했고, L2에 대한 신뢰도 오히려 조금 더 높아졌다고 봅니다. 다른 일부는 매우 직접적인 질문을 던집니다: 9명이 서명하면 누구의 명의로든 어떤 자산이든 움직일 수 있다면, 이것이 여전히 탈중앙화라고 할 수 있을까요.

필자의 견해로는, 양측이 말하는 것은 사실 같은 이야기가 아닙니다.

전자는 결과를 말하고, 후자는 능력을 말합니다. 이번 사건의 결과는 분명히 좋습니다. 7천만 달러 이상의 도난 자금이 회수되었습니다. 하지만 Arbitrum이 이번에 보여준 멀티시그로 컨트랙트 함수를 변경하는 능력 자체는 중립적입니다. 이번에는 해커를 추적하는 데 사용했지만, 나중에 무엇을 위해, 할 수 있는지, 어떻게 할지는 실제로 위원회의 거버넌스에 달려 있습니다.

하지만 대부분의 Arbitrum 사용자에게 이 논의는 다른 사실만큼 실용적이지 않을 수 있습니다. Arbitrum은 특별하지 않으며, 현재 주류 L2는 거의 모두 유사한 긴급 업그레이드 권한을 보유하고 있습니다.

당신이 사용하는 그 체인에도 높은 확률로 유사한 안전 위원회가 있으며, 유사한 능력을 가지고 있습니다. 이것은 Arbitrum만의 독특한 선택이 아니라, L2가 현 단계에서 거의 공통적으로 가지고 있는 설계입니다.

다른 각도에서 보면, 이번 공격과 방어는 사실 더 큰 그림을 드러냈습니다.

공격 측은 북한의 Lazarus Group으로, 올해 들어 최소 18건의 DeFi 공격에 연루된 것으로 추정됩니다. 3주 전에는 Drift Protocol에서 2억 8,500만 달러를 훔쳤는데, 완전히 다른 수법을 사용했습니다.

한쪽은 국가급 해커가 공격 방식을 지속적으로 업그레이드하고 있고, 다른 한쪽은 L2가 기반 권한을 동원해 반격을 시작하고 있습니다. DeFi의 보안 전쟁은 "사후 동결, 체인 상의 호소, 화이트햇의 개입을 기도하는" 단계에서 새로운 단계로 진입하고 있습니다.

매우 특별한 시기에 만능 열쇠를 만들어 해커의 주소를 열고, 일이 끝난 후 열쇠를 녹여버렸습니다. 이 일 자체만으로 보면, 해커의 공격에 대응할 능력이 있다는 것은 나쁘지 않습니다.

그리고 만약 반드시 "이것은 전혀 탈중앙화가 아니다"라는 철학적 논의로 끌어올리자면, 말할 수 있는 일은 너무 많습니다. 암호화폐 업계의 중앙화된 다양한 조작은 적지 않습니다. 이번에는 적어도 부정적 사건을 처리하고 문제를 해결하는 것이지, 부정적 사건을 만드는 것은 아닙니다.

다시 현실적으로 돌아가 보면, KelpDAO가 도난당한 금액은 2억 9,200만 달러이고, 회수된 금액은 7천만 달러가 조금 넘어 총액의 4분의 1도 되지 않습니다. 나머지 ETH는 여전히 다른 체인에 흩어져 있고, Aave에서 1억 달러가 넘는 부채는 아직 해결되지 않았으며, rsETH 보유자가 얼마나 돌려받을 수 있을지는 아직 알 수 없습니다.

Arbitrum이 신과 같은 권한을 동원했더라도, 이 전쟁은 분명히 아직 끝나지 않았습니다.