Arbitrum Lấy Danh Nghĩa Hacker, 'Đánh Cắp' Lại 70 Triệu USD Bị Đánh Cắp
- Quan điểm cốt lõi: Hội đồng An ninh Arbitrum đã sử dụng quyền hạn khẩn cấp, thông qua nâng cấp tạm thời hợp đồng cốt lõi và tạo giao dịch giả mạo, đã thành công thu hồi khoảng 70 triệu USD ETH bị mắc kẹt trên chuỗi của mình trong sự kiện hack KelpDAO. Hành động này cho thấy khả năng mới của L2 trong việc ứng phó với các mối đe dọa an ninh cấp cao, nhưng cũng làm dấy lên cuộc thảo luận trong cộng đồng về mức độ tập trung quyền quản trị của nó.
- Yếu tố then chốt:
- Hội đồng An ninh Arbitrum thông qua chữ ký đa bên 9/12, tạm thời nâng cấp hợp đồng cầu nối chuỗi chéo, thêm chức năng có thể khởi tạo giao dịch "nhân danh bất kỳ địa chỉ nào" mà không cần khóa riêng tư, và hoàn thành nâng cấp, chuyển khoản và khôi phục trong một giao dịch duy nhất.
- Hành động này nhắm vào địa chỉ được cơ quan thực thi pháp luật xác nhận là tổ chức hacker Triều Tiên Lazarus Group, việc xử lý số tiền thu hồi sau đó cần thông qua bỏ phiếu quản trị DAO và phối hợp với cơ quan thực thi pháp luật.
- Phản ứng của cộng đồng chia rẽ: một bên ca ngợi việc bảo vệ tài sản hiệu quả, tăng cường niềm tin; bên khác thì nghi ngờ rằng việc 9 người ký đa bên có thể bỏ qua quản trị, thao túng tài sản là vi phạm nguyên tắc phi tập trung.
- Phân tích chỉ ra rằng quyền nâng cấp khẩn cấp như vậy là thiết kế chung của các L2 chủ đạo hiện nay, không phải độc quyền của Arbitrum, bản thân khả năng này là trung lập, việc sử dụng cụ thể phụ thuộc vào khuôn khổ quản trị.
- Sự kiện đánh dấu sự leo thang đối đầu an ninh DeFi: bên tấn công là tổ chức hacker cấp quốc gia với thủ đoạn đa dạng, còn bên phòng thủ bắt đầu sử dụng quyền hạn giao thức cơ sở để chủ động phản công.
- Lần này chỉ thu hồi được khoảng một phần tư số tiền bị đánh cắp (khoảng 70 triệu / 292 triệu USD), số tiền còn lại phân tán trên nhiều chuỗi, các vấn đề như nợ xấu hơn 100 triệu USD trên Aave vẫn chưa được giải quyết.
Tác giả gốc: Deep Tide TechFlow
Tuần trước, KelpDAO bị hacker đánh cắp gần 300 triệu USD, trở thành sự kiện bảo mật tiêu cực lớn nhất trong lĩnh vực DeFi tính đến nay trong năm nay.
Số ETH bị đánh cắp hiện đang nằm rải rác trên nhiều chuỗi khác nhau, trong đó khoảng 30,765 ETH vẫn còn trong một địa chỉ trên chuỗi Arbitrum, trị giá hơn 70 triệu USD.
Câu chuyện tưởng chừng đã kết thúc, nhưng hôm nay lại có phần tiếp theo.
Theo theo dõi của tổ chức bảo mật on-chain PeckShield, số tiền trong địa chỉ của hacker trên chuỗi Arbitrum đã được chuyển đi vài giờ trước, nhưng điều kỳ lạ là số tiền này đã được chuyển đến một địa chỉ kỳ lạ trông gần như toàn số 0: 0x00000...
Mọi người lúc đó đều đoán, liệu hacker tự mình đốt tất cả tiền vào địa chỉ black hole? Hay là họ thức tỉnh lương tâm hoặc bị chiêu an?
Không phải cả hai.
Vài giờ trước, diễn đàn chính thức của Arbitrum đã đăng một thông báo hành động khẩn cấp giải thích tình hình. Số tiền của hacker đã được Hội đồng Bảo mật của Arbitrum chuyển đi.
Tuy nhiên, điều thần kỳ là, trong khi không biết khóa riêng tư của địa chỉ hacker, Hội đồng Arbitrum không đóng băng tiền của hacker cũng không có quyền chuyển khoản, mà trực tiếp "nhân danh hacker" đưa ra một lệnh chuyển tiền.
Bản thân hacker không biết, khóa riêng tư không bị rò rỉ, bản ghi on-chain trông giống như chính hacker đã thao tác.
Nguyên lý thực hiện thao tác này là, tất cả tin nhắn cross-chain giữa Arbitrum và Ethereum đều phải đi qua một hợp đồng cầu có tên là Inbox. Hội đồng Bảo mật đã sử dụng quyền hạn khẩn cấp để nâng cấp tạm thời hợp đồng này, thêm một hàm mới:
Gửi giao dịch cross-chain nhân danh bất kỳ địa chỉ ví nào, nhưng không cần khóa riêng tư của ví đó.
Sau đó, họ sử dụng hàm này để giả mạo một tin nhắn, người gửi được ghi là ví của hacker, nội dung là "chuyển tất cả ETH của tôi đến địa chỉ đóng băng". Chuỗi Arbitrum nhận được và thực thi như bình thường, do đó đã có cảnh tượng kỳ lạ trong ảnh chụp màn hình giao dịch on-chain ở trên.
Sau khi chuyển xong tiền của hacker, hợp đồng này ngay lập tức được hạ cấp trở lại phiên bản gốc. Nâng cấp, giả mạo, chuyển tiền, khôi phục, tất cả được đóng gói và hoàn thành trong một giao dịch Ethereum duy nhất. Người dùng và ứng dụng khác hoàn toàn không bị ảnh hưởng.
Thao tác này không có tiền lệ trong lịch sử của Arbitrum.
Theo thông báo trên diễn đàn, Hội đồng Bảo mật đã xác nhận danh tính của hacker với cơ quan thực thi pháp luật trước đó, chỉ ra Lazarus Group của Triều Tiên, nhóm hacker cấp quốc gia hoạt động tích cực nhất trong lĩnh vực DeFi năm nay. Hội đồng đã thực hiện đánh giá kỹ thuật, đảm bảo không ảnh hưởng đến người dùng khác trước khi hành động.
Vì hacker đã làm sai trước, chiêu này có chút ý nghĩa "đừng trách mọi người không giữ phép tắc". Về việc xử lý số ETH bị đóng băng sau này, sẽ cần thông qua bỏ phiếu quản trị DAO của Arbitrum và phối hợp với cơ quan thực thi pháp luật.
Việc truy hồi được hơn 70 triệu USD tiền bị đánh cắp tất nhiên là tốt. Nhưng điều kiện tiên quyết để làm được việc này đáng chú ý: 9 trong số 12 thành viên của Hội đồng Bảo mật ký tên, có thể bỏ qua tất cả các cuộc bỏ phiếu quản trị, nâng cấp bất kỳ hợp đồng lõi nào trên chuỗi với độ trễ bằng không.
Khen ngợi kết quả, lo ngại về năng lực?
Hiện tại, phản ứng của cộng đồng về vấn đề này rất chia rẽ.
Một số người cho rằng Arbitrum làm rất tốt, bảo vệ tài sản trong thời điểm then chốt, thậm chí tăng thêm một chút niềm tin vào L2. Một số khác thì đặt ra một câu hỏi rất trực tiếp: Nếu 9 người ký tên có thể nhân danh bất kỳ ai để động chạm bất kỳ tài sản nào, điều này còn được gọi là phi tập trung không.
Theo quan điểm của tác giả, hai bên thực ra đang nói về hai việc khác nhau.
Bên trước nói về kết quả, bên sau nói về năng lực. Kết quả của việc này chắc chắn là tốt, hơn 70 triệu USD tiền bị đánh cắp đã được truy hồi. Nhưng bản thân năng lực thay đổi hàm hợp đồng bằng đa chữ ký mà Arbitrum thể hiện lần này là trung tính; lần này dùng để truy bắt hacker, sau này dùng để làm gì, có thể làm không, làm như thế nào, thực tế đều phụ thuộc vào quản trị của ủy ban.
Tuy nhiên, đối với hầu hết người dùng Arbitrum, cuộc thảo luận này có thể không thực tế bằng một sự thật khác. Arbitrum không đặc biệt, hiện tại hầu hết các L2 chính thống đều giữ lại quyền hạn nâng cấp khẩn cấp tương tự.
Chuỗi bạn đang sử dụng rất có thể cũng có một Hội đồng Bảo mật tương tự, sở hữu năng lực tương tự. Đây không còn là lựa chọn độc đáo của Arbitrum nữa, L2 ở giai đoạn hiện tại hầu như đều có thiết kế chung này.
Nhìn từ một góc độ khác, cuộc tấn công-phòng thủ lần này thực ra đã phơi bày một bức tranh lớn hơn.
Bên tấn công là Lazarus Group của Triều Tiên, từ đầu năm đến nay bị quy kết cho ít nhất 18 vụ tấn công DeFi. Ba tuần trước vừa đánh cắp 285 triệu USD từ Drift Protocol, sử dụng phương thức hoàn toàn khác.
Một bên là hacker cấp quốc gia không ngừng nâng cấp phương thức tấn công, một bên là L2 bắt đầu sử dụng quyền hạn cấp thấp để phản công. Cuộc chiến bảo mật DeFi đang bước vào một giai đoạn mới, từ "đóng băng sau sự kiện, kêu gọi on-chain, cầu nguyện mũ trắng can thiệp".
Trong thời kỳ đặc biệt, tạo ra một chìa khóa vạn năng để mở khóa địa chỉ của hacker, sau khi hoàn thành thì nấu chảy chìa khóa. Chỉ xét riêng việc này, có năng lực ứng phó với các cuộc tấn công của hacker, không phải là điều tồi.
Còn nếu nhất định phải đưa sự việc lên thành cuộc thảo luận triết học "điều này chẳng phi tập trung chút nào", thì có quá nhiều điều để nói. Ngành công nghiệp crypto không thiếu các thao tác tập trung hóa, lần này ít nhất là đang xử lý sự kiện tiêu cực và giải quyết vấn đề, chứ không phải tạo ra sự kiện tiêu cực.
Quay lại nhìn một cách thực tế hơn, số tiền KelpDAO bị đánh cắp là 292 triệu, số truy hồi được là hơn 70 triệu, chưa đến một phần tư tổng số. Số ETH còn lại vẫn nằm rải rác trên các chuỗi khác, khoản nợ xấu hơn 100 triệu USD trên Aave vẫn chưa có hướng giải quyết, người nắm giữ rsETH có thể lấy lại bao nhiêu vẫn là ẩn số.
Ngay cả khi Arbitrum đã sử dụng quyền năng thần thánh, trận chiến này rõ ràng vẫn chưa kết thúc.
