Arbitrum finge ser un hacker y «roba» de vuelta el dinero que KelpDAO perdió

Título original: «Arbitrum finge ser un hacker y «roba» de vuelta el dinero perdido por KelpDAO»
Fuente original: Deep潮 TechFlow

La semana pasada, KelpDAO fue hackeado y le robaron casi 300 millones de dólares, convirtiéndose en el mayor incidente de seguridad negativo en DeFi hasta la fecha.

El ETH robado ahora está disperso en varias cadenas, de los cuales aproximadamente 30,765 permanecen en una dirección en la cadena de Arbitrum, valorada en más de 70 millones de dólares.

Este relato parecía haber llegado a su fin, pero hoy hay una secuela.

Según la monitorización de la agencia de seguridad en cadena PeckShield, el dinero en la dirección del hacker en la cadena de Arbitrum fue transferido hace unas horas, pero lo extraño es que ese dinero fue enviado a una dirección extraña que parece estar casi vacía, 0x00000…

Todos en ese momento especulaban: ¿el hacker se autoincriminó y envió el dinero a una dirección de agujero negro para quemarlo? ¿O tuvo un cambio de conciencia o fue sobornado?

Ninguna de las dos.

Hace unas horas, el foro oficial de Arbitrum publicó un aviso de acción urgente explicando la situación. El dinero del hacker fue transferido por el consejo de seguridad de Arbitrum.

Lo sorprendente es que, sin conocer la clave privada de la dirección del hacker, el consejo de Arbitrum no congeló los fondos ni tenía autoridad para transferirlos, sino que envió directamente una orden de transferencia «en nombre del hacker».

El propio hacker no estaba informado, la clave privada no fue comprometida, y los registros en la cadena parecen indicar que fue una operación realizada por el propio hacker.

El principio que permite esta operación es que todos los mensajes entre Arbitrum y Ethereum que cruzan cadenas pasan por un contrato puente llamado Inbox. El consejo de seguridad utilizó permisos de emergencia para actualizar temporalmente este contrato, añadiendo una nueva función:

Enviar transacciones entre cadenas en nombre de cualquier dirección de cartera, sin necesidad de la clave privada de esa cartera.

Luego, usaron esta función para falsificar un mensaje, cuyo remitente era la cartera del hacker, con el contenido de «Transferir todo mi ETH a la dirección de congelación». Cuando la cadena de Arbitrum recibió esto, ejecutó la orden como de costumbre, lo que resultó en la escena extraña en la captura de transferencia en la cadena.

Tras transferir los fondos del hacker, el contrato volvió inmediatamente a su versión original. La actualización, falsificación, transferencia y restauración se completaron en una sola transacción en Ethereum. Otros usuarios y aplicaciones no se vieron afectados.

Este tipo de operación no tiene precedentes en la historia de Arbitrum.

Según el anuncio en el foro, el consejo de seguridad confirmó previamente la identidad del hacker con las autoridades, apuntando al grupo Lazarus de Corea del Norte, la organización de hackers a nivel estatal más activa en DeFi este año. Después de una evaluación técnica, aseguraron que no afectaría a otros usuarios antes de proceder.

Dado que lo que hizo el hacker fue incorrecto desde el principio, esta acción tiene un tono de «no culpar a nadie por actuar sin ética». La forma en que se maneje el ETH congelado en el futuro dependerá de una votación de gobernanza en el DAO de Arbitrum y de la coordinación con las autoridades.

Recuperar más de 70 millones de dólares robados es, sin duda, positivo. Pero hay que tener en cuenta que, para realizar esta acción, 9 de los 12 miembros del consejo de seguridad firmaron, pudiendo así saltarse cualquier votación de gobernanza y actualizar instantáneamente cualquier contrato central en la cadena.

¿Elogio por los resultados, preocupación por las capacidades?

Actualmente, la reacción de la comunidad ante este asunto está muy dividida.

Algunos piensan que Arbitrum hizo un buen trabajo, protegiendo los activos en un momento crítico y fortaleciendo la confianza en L2. Otros, en cambio, plantean una pregunta muy directa: si con solo 9 firmas se puede actuar en nombre de cualquier persona y mover cualquier activo, ¿esto todavía es descentralizado?

Creo que ambas partes no se refieren exactamente a lo mismo.

La primera habla del resultado, la segunda de la capacidad. El resultado de esta acción es claramente positivo, logrando recuperar los más de 70 millones de dólares robados. Pero la capacidad de modificar contratos mediante firmas múltiples en Arbitrum es neutral en sí misma; cómo y para qué se use esa capacidad en el futuro, dependerá de la gobernanza del comité.**

Pero, para la mayoría de los usuarios de Arbitrum, esta discusión puede ser menos relevante que un hecho concreto. La mayoría de las cadenas L2 principales actualmente conservan permisos de actualización de emergencia similares.

Probablemente, la cadena que usas también tenga un consejo de seguridad similar, con capacidades similares. Esto ya no es algo exclusivo de Arbitrum; en esta etapa, casi todos los L2 comparten este diseño común.

Desde otra perspectiva, esta operación de ataque y defensa revela un panorama más amplio.

El atacante es el grupo Lazarus de Corea del Norte, responsable de al menos 18 ataques en DeFi este año. Hace tres semanas, robaron 285 millones de dólares en Drift Protocol, usando un método completamente diferente.

Por un lado, hackers de nivel estatal están constantemente perfeccionando sus técnicas de ataque; por otro, los L2 comienzan a usar permisos de bajo nivel para contraatacar. La seguridad en DeFi está entrando en una nueva fase, dejando atrás las acciones de «congelar después del hecho, hacer anuncios en cadena y rezar por la intervención de white hats».

En tiempos de crisis, se creó una llave maestra para abrir la dirección del hacker, y después se fundió esa llave. Desde esta perspectiva, tener la capacidad de responder a ataques de hackers no es algo negativo.

Y si se quiere elevar esto a una discusión filosófica sobre la «descentralización total», hay muchas cosas que decir. La centralización en la industria de las criptomonedas no es poca; al menos, en esta ocasión, se actuó para gestionar un evento negativo y resolver un problema, en lugar de crear uno.

En un análisis pragmático, KelpDAO fue hackeado por 292 millones, y se recuperaron más de 70 millones, lo que representa menos de una cuarta parte del total. El ETH restante aún está disperso en otras cadenas, y las deudas en Aave por más de 100 millones de dólares aún no tienen solución; no se sabe cuánto podrán recuperar los poseedores de rsETH.**

Incluso si Arbitrum usó permisos de nivel superior, claramente la batalla aún no termina.

Enlace original

Haz clic para conocer cómo BlockBeats está reclutando en sus vacantes

¡Únete a la comunidad oficial de BlockBeats:

Grupo de suscripción en Telegram: https://t.me/theblockbeats

Grupo de Telegram: https://t.me/BlockBeats_App

Cuenta oficial en Twitter: https://twitter.com/BlockBeatsAsia**