Arbitrum se fait passer pour un hacker, « vole » de l'argent perdu par KelpDAO

Titre original : "Arbitrum se fait passer pour un hacker, récupère des fonds volés pour KelpDAO"

La semaine dernière, KelpDAO a été piraté, perdant près de 300 millions de dollars, marquant le plus gros incident de sécurité DeFi de l'année à ce jour.

Les ETH volés sont maintenant dispersés sur plusieurs chaînes, et environ 30 765 restent dans une adresse de la chaîne Arbitrum, évaluée à plus de 70 millions de dollars.

Juste au moment où tout le monde pensait que l'histoire était terminée, un nouvel épisode s'est déroulé aujourd'hui.

Selon la société de sécurité on-chain PeckShield, les fonds de l'adresse du hacker sur la blockchain Arbitrum ont été transférés il y a quelques heures, mais bizarrement, ces fonds ont été envoyés à une adresse qui semble être principalement nulle, comme 0x00000...

À ce moment-là, tout le monde spéculait : Le hacker a brûlé les fonds dans une adresse de trou noir ? Ou ont-ils changé d'avis ou accepté un pot-de-vin ?

Pas plus.

Il y a quelques heures, un avis d'action d'urgence a été publié sur le forum officiel d'Arbitrum pour expliquer la situation. Les fonds du hacker ont été transférés par le Conseil de sécurité d'Arbitrum.

Fait intéressant, sans connaître la clé privée de l'adresse du hacker, le Conseil d'Arbitrage n'a ni gelé les fonds du hacker ni eu l'autorité de les transférer ; au lieu de cela, il a directement émis une instruction de transfert « au nom du hacker ».

Le pirate lui-même l'ignorait, la clé privée n'était pas compromise et les enregistrements on-chain semblent comme si le pirate avait mené l'opération.

Le principe derrière cette opération est que tous les messages inter-chaînes entre Arbitrum et Ethereum passent par un contrat de bridge appelé Boîte de réception. Le Conseil de sécurité a utilisé des pouvoirs d ' exception pour revaloriser temporairement ce contrat, ajoutant une nouvelle fonction :

Pour envoyer une transaction inter-chaînes au nom de n'importe quelle adresse de portefeuille sans exiger la clé privée de ce portefeuille.

Ils ont ensuite utilisé cette fonction pour falsifier un message, l'adresse de l'expéditeur étant le portefeuille du pirate et le contenu indiquant « Transférer tous mes ETH vers l'adresse gelée ». Lorsque la blockchain Arbitrum l'a reçu, la scène étrange capturée dans la capture d'écran du transfert on-chain s'est produite.

Après avoir transféré les fonds du hacker, le contrat s'est immédiatement autodétruit pour revenir à son état initial. La mise à niveau, la falsification, le transfert et la récupération ont été regroupés en une seule transaction Ethereum. Les autres utilisateurs et applications n'ont pas du tout été affectés.

Cette opération n'a aucun précédent dans l'histoire d'Arbitrum.

Selon une annonce du forum, le Conseil de sécurité avait confirmé à l'avance l'identité du hacker auprès des forces de l'ordre, pointant du doigt le groupe nord-coréen Lazarus, l'organisation de hackers la plus active au niveau de l'État dans l'espace DeFi cette année. Le conseil a procédé à une évaluation technique, ne s'assurant ainsi d'aucune incidence sur les autres utilisateurs avant de prendre des mesures.

Comme le hacker a agi de façon malveillante en premier, cette démarche s'apparente un peu à une situation de "pas d'honneur parmi les voleurs". Quant à la manière de gérer les ETH gelés à l'avenir, elle sera soumise à un vote dans le cadre du processus de gouvernance du DAO d'Arbitrum, en coordination avec les forces de l'ordre.

Pouvoir récupérer plus de 70 millions de dollars de fonds volés est certainement un résultat positif. Cependant, il convient de noter la condition préalable pour y parvenir : sur les 12 membres du Conseil de sécurité, 9 signatures sont suffisantes pour contourner tout vote sur la gouvernance et améliorer en douceur n'importe quel contrat de base de la blockchain.

Applaudissements au résultat, Préoccupations pour l'autorité ?

Actuellement, la réponse de la communauté à cet incident est assez divisée.

Certains considèrent les actions d'Arbitrum comme louables, protégeant les actifs à un moment critique et renforçant même la confiance en L2. D'autres posent une question directe: si 9 signatures peuvent déplacer n'importe quel actif au nom de n'importe qui, cela relève-t-il encore de la décentralisation ?

Du point de vue de l'auteur, les deux parties ne discutent pas réellement de la même chose.

Le premier parle du résultat, tandis que le second discute d'autorité. L'issue de cet incident est sans aucun doute positive, avec plus de 70 millions de dollars de fonds volés récupérés. Cependant, la capacité démontrée par Arbitrum cette fois-ci avec la fonction de contrat multi-signatures est neutre en soi ; la manière dont elle sera utilisée à l'avenir, ce qu'elle peut faire et comment elle peut l'être dépendent en fait de la gouvernance du comité.

Cependant, pour la plupart des utilisateurs d'Arbitrum, cette discussion peut ne pas être aussi pratique sans un autre fait. Arbitrum n'est pas unique à cet égard, car la plupart des solutions L2 courantes conservent actuellement des capacités de mise à niveau d'urgence similaires.

La blockchain que vous utilisez a probablement aussi un Conseil de sécurité similaire avec des capacités similaires. Ce n'est pas un choix unique pour Arbitrum. À ce stade, la plupart des solutions L2 ont cette conception commune.

Vu sous un angle différent, cette attaque et défense a en fait révélé une image plus large.

L'assaillant était le groupe nord-coréen Lazarus, qui a été attribué à au moins 18 attaques de la DeFi cette année. Il y a trois semaines, ils ont volé 285 millions de dollars à Drift Protocol en utilisant une méthode complètement différente.

D'un côté, les hackers étatiques améliorent continuellement leurs méthodes d'attaque, tandis que de l'autre côté, L2 commence à utiliser les autorisations sous-jacentes pour riposter. La bataille sécuritaire dans la DeFi passe d'un "gel post-attaque, d'annonces on-chain, de prières pour une intervention de whitehat" à une nouvelle étape.

Dans un mouvement très extraordinaire, une clé universelle a été créée pour déverrouiller l'adresse du hacker, et une fois la tâche terminée, la clé a été détruite. Rien que sur la base de cet incident, la capacité à résister aux attaques de pirates informatiques n'est pas mauvaise.

Et s'il faut élever la question au rang de discussion philosophique sur le fait que « ce n'est pas du tout décentralisé », alors il y a de quoi discuter. Il existe de nombreuses opérations centralisées dans l'industrie de la crypto, mais cette fois-ci au moins, l'accent a été mis sur le traitement de l'événement négatif et la résolution du problème, plutôt que de provoquer un événement négatif.

Pour revenir à une vision plus pragmatique, KelpDAO s’est fait voler 292 millions de dollars, seuls plus de 70 millions de dollars ont été récupérés, soit moins d’un quart du total. Les ETH restants sont toujours dispersés sur d'autres blockchains, plus de 100 millions de dollars de créances douteuses sur Aave ne sont toujours pas résolus et le montant que les détenteurs de rsETH récupéreront est toujours inconnu.

Même si Arbitrum a invoqué sa permission en mode Dieu, il est clair que la bataille est loin d'être terminée.

Article original Lien