Na semana passada, KelpDAO foi hackeado e quase 300 milhões de dólares foram roubados, tornando-se até agora o maior incidente de segurança negativo no DeFi este ano.

O ETH roubado agora está disperso em várias blockchains, sendo que aproximadamente 30.765 unidades permanecem em um endereço na cadeia Arbitrum, avaliado em mais de 70 milhões de dólares.
Essa história parecia ter acabado, mas hoje surgiu uma continuação.
De acordo com a agência de segurança on-chain PeckShield, o dinheiro do hacker na cadeia Arbitrum foi transferido há algumas horas, mas o estranho é que esses fundos foram enviados para um endereço estranho, que parece quase vazio, 0x00000... .
Na época, todos especulavam se o hacker tinha colocado o dinheiro no endereço do buraco negro para queimar, ou se tinha se arrependido ou sido coagido.
Nenhuma das hipóteses.
Há algumas horas, o fórum oficial do Arbitrum publicou um aviso de ação emergencial explicando a situação. O dinheiro do hacker foi transferido pelo Conselho de Segurança do Arbitrum.
Surpreendentemente, sem conhecer a chave privada do endereço do hacker, o Conselho de Segurança do Arbitrum não congelou os fundos nem tinha permissão para transferir, mas enviou uma instrução de transferência "em nome do hacker".
O próprio hacker não tinha conhecimento, a chave privada não foi comprometida, e os registros na blockchain parecem indicar que foi uma operação feita por ele mesmo.
A operação foi possível graças ao fato de que todas as mensagens entre Arbitrum e Ethereum passam por uma ponte chamada Inbox, que é um contrato inteligente.
O Conselho de Segurança usou uma permissão de emergência para atualizar temporariamente esse contrato, adicionando uma nova função:
Enviar transações cross-chain em nome de qualquer carteira, sem precisar da chave privada dessa carteira.
Depois, eles usaram essa função para falsificar uma mensagem, na qual o remetente era o endereço do hacker, com o conteúdo "transfira todo o meu ETH para o endereço de congelamento".
Quando o Arbitrum recebeu essa mensagem, executou normalmente, resultando na cena estranha mostrada na captura de tela da transferência na blockchain.
Após transferir o dinheiro do hacker, o contrato foi imediatamente revertido ao seu estado original.
A atualização, falsificação, transferência e restauração foram todas feitas em uma única transação na Ethereum.
Outros usuários e aplicativos não foram afetados.
Essa operação não tem precedentes na história do Arbitrum.
Segundo o anúncio no fórum, o Conselho de Segurança confirmou previamente a identidade do hacker com as autoridades, apontando para o grupo Lazarus, da Coreia do Norte, considerado o grupo de hackers de nível estatal mais ativo no DeFi este ano.
Após uma avaliação técnica, o conselho decidiu agir apenas após garantir que não afetaria outros usuários.
Já que o hacker agiu de forma incorreta inicialmente, essa ação tem um tom de "não culpe ninguém por agir de forma não ética".
Quanto ao destino do ETH congelado, será decidido por votação na governança DAO do Arbitrum, em coordenação com as autoridades.
Recuperar mais de 70 milhões de dólares roubados é certamente positivo, mas é importante notar que, para realizar essa ação, nove dos doze membros do conselho assinaram, podendo assim contornar todas as votações de governança e fazer atualizações instantâneas nos contratos principais na blockchain.
Elogios pelos resultados, preocupações com a capacidade?
Atualmente, a reação da comunidade a esse evento está bastante dividida.
Alguns acham que o Arbitrum fez um bom trabalho, protegendo os ativos no momento crítico, o que aumentou a confiança na L2.
Outros questionam de forma direta: se nove pessoas podem assinar e agir em nome de qualquer um, isso ainda é descentralizado?
Na minha opinião, ambos os lados não estão falando exatamente da mesma coisa.
Os primeiros estão comentando sobre o resultado, os segundos sobre a capacidade.
O resultado foi positivo, os mais de 70 milhões de dólares roubados foram recuperados.
Mas a capacidade de usar funções de multiassinatura para modificar contratos é neutra; o que se faz com essa capacidade — para perseguir hackers, ou para outros fins — depende da governança do conselho.
No entanto, para a maioria dos usuários do Arbitrum, essa discussão pode ser menos prática do que o fato de que o Arbitrum, assim como outras L2s principais, geralmente mantém permissões de atualização emergencial semelhantes.
Provavelmente, a cadeia que você usa também possui um conselho de segurança com capacidades similares.
Isso não é uma característica exclusiva do Arbitrum; na fase atual, quase todas as L2s adotam esse design comum.
De outro ângulo, essa ofensiva e defesa revelam um panorama maior.
O atacante é o Lazarus Group, da Coreia do Norte, responsável por pelo menos 18 ataques de DeFi este ano.
Há três semanas, eles roubaram US$ 285 milhões do Drift Protocol, usando uma abordagem completamente diferente.
De um lado, hackers de nível estatal continuam aprimorando suas táticas; do outro, as L2s começaram a usar permissões de baixo nível para contra-atacar.
A segurança do DeFi está entrando em uma nova fase, passando de "congelamento pós-ataque, comunicação na cadeia, oração por white hats" para algo mais avançado.
Ao criar uma chave universal que abriu o endereço do hacker, e depois a fundiu, eles mostraram que têm capacidade de responder a ataques.
Se essa capacidade é suficiente ou não, depende da governança.
Se quisermos elevar essa discussão ao nível filosófico de "isso não é descentralizado", há muitas coisas a dizer.
Operações centralizadas na indústria de criptomoedas não são poucas, e pelo menos neste caso, eles estão lidando com um incidente negativo e resolvendo o problema, ao invés de criá-lo.
Na prática, o roubo de KelpDAO foi de 292 milhões de dólares, e foram recuperados pouco mais de 70 milhões, menos de um quarto do total.
O restante do ETH ainda está disperso em outras chains, e há mais de US$ 100 milhões em dívidas na Aave ainda sem solução.
Os detentores de rsETH ainda não sabem quanto poderão recuperar.
Mesmo com o uso de permissões de nível superior pelo Arbitrum, essa batalha ainda não acabou.