Arbitrum以黑客之名，「偷」回了被盜的7000萬美元

原文作者：深潮 TechFlow

上週 KelpDAO 被駭客偷了將近 3 億美元，成為目前為止今年 DeFi 最大的負面安全事件。

被偷的 ETH 現在散落在多條鏈上，其中大約 30765 個留在了 Arbitrum 鏈上的一個地址裡，價值 7000 多萬美元。

這個故事本來以為已經講完了，今天又出了續集。

據鏈上安全機構 PeckShield 監測，Arbitrum 鏈上的駭客地址裡的錢幾個小時前已經被轉出，但奇怪的是這些錢被轉到了一個看起來幾乎全是零的 0x00000...的奇怪地址裡。

大家當時都在猜，駭客自己把錢都放進黑洞地址裡燒了？還是良心發現或者被招安了？

都不是。

幾個小時前，Arbitrum 官方論壇貼了一份緊急行動公告解釋了情況。駭客的錢，是被 Arbitrum 的安全理事會轉走的。

不過神奇的是，在不知道駭客地址私鑰的情況下，Arbitrum 理事會既沒有凍結駭客的錢，也沒有權限轉賬，而是直接「以駭客的名義」發了一條轉賬指令。

駭客本人不知情，私鑰沒洩露，鏈上記錄看起來就像是駭客自己操作的。

而實現這一操作的原理是，Arbitrum 和以太坊之間所有的跨鏈訊息都要經過一個叫 Inbox 的橋合約。安全理事會動用緊急權限臨時升級了這個合約，加了一個新函數：

以任意錢包地址的名義發出跨鏈交易，但是可以不需要那個錢包的私鑰。

然後他們用這個函數偽造了一條訊息，發送方寫的就是駭客錢包，內容是「把我的 ETH，全部轉到凍結地址」。Arbitrum 鏈收到之後照常執行，於是就有了上面鏈上轉賬截圖裡詭異的一幕。

把駭客的錢轉完後，這個合約立刻降級回原版。升級、偽造、轉賬、恢復，全部打包在一筆以太坊交易裡完成。其他用戶和應用完全不受影響。

這個操作，在 Arbitrum 歷史上沒有先例。

據論壇公告，安全理事會事先跟執法部門確認了駭客身份，指向北韓的 Lazarus Group，今年 DeFi 領域最活躍的國家級駭客組織。理事會做了技術評估，確保不影響其他用戶後才動的手。

既然駭客做的不對在先，這招就有點「不要怪大家不講武德」的意思。至於凍結的 ETH 後續怎麼處理，要走 Arbitrum的 DAO 治理投票，跟執法部門協調。

能追回 7000 多萬被盜資金當然是好事。但做到這件事的前提值得注意，安全理事會 12 個成員裡 9 個人簽字，就可以繞過所有治理投票，零延遲升級鏈上任何核心合約。

讚揚結果，擔憂能力？

目前，社群對這件事的反應很分裂。

一部分人覺得 Arbitrum 幹得漂亮，關鍵時刻護住了資產，對 L2 的信心反而加了一點。另一部分人則問了一個很直接的問題：如果 9 個人簽字就能以任何人的名義動任何資產，這還叫去中心化嗎。

筆者認為，兩邊說的其實不是同一件事。

前者在說結果，後者在說能力。這件事的結果肯定是好的，7000 多萬被盜資金追回來了。但 Arbitrum 這次展現的多簽改合約函數的能力本身是中性的；這次用來追駭客，以後用來幹什麼、能不能幹、怎麼幹，實際上都取決於委員會的治理。

不過，對大多數用 Arbitrum 的人來說，這個討論可能沒有另一個事實來得實際。Arbitrum 並不特殊，目前主流 L2 幾乎都保留了類似的緊急升級權限。

你用的那條鏈大概率也有一個類似的安全理事會，擁有類似的能力。這就不是 Arbitrum 獨特的選擇了，L2 在現階段幾乎都有這個通用設計。

換個角度看，這次攻防其實暴露了一個更大的圖景。

攻擊方是北韓的 Lazarus Group，今年以來被歸因於至少 18起 DeFi 攻擊。三週前剛偷了 Drift Protocol 2.85 億美元，用的是完全不同的手法。

一邊是國家級駭客在不斷升級攻擊方式，一邊是 L2 開始動用底層權限進行反擊。DeFi 的安全戰正在從「事後凍結、鏈上喊話、祈禱白帽介入」進入一個新階段。

在非常時期造了一把萬能鑰匙打開了駭客的地址，完事後把鑰匙融了。只從這件事來說，有能力應對駭客的攻擊，並不差。

而如果一定要把事情上升到「這一點也不去中心化」的哲學討論上，那可以說的事就太多了。加密行業中心化的各種操作不在少數，這次至少是在處理負面事件並解決問題，而不是製造負面事件。

回過頭務實一點看，KelpDAO 被偷的是 2.92 億，追回來的是 7000 多萬，還不到總數的四分之一。剩下的 ETH 還散落在其他鏈上，Aave 上超過 1 億美元的壞帳還沒有著落，rsETH 持有者能拿回多少還是未知數。

即使 Arbitrum 動用了上帝權限，這場仗顯然遠沒有打完。