Arbitrum encenou uma peça: 9 pessoas fingiram ser hackers e “roubaram” de volta 70 milhões de dólares

$BTC ‌
Na semana passada, a KelpDAO foi roubada por um hacker da Coreia do Norte, o Lazarus Group, quase 300 milhões de dólares, incluindo mais de 30 mil ETH que ficaram na cadeia Arbitrum, valendo mais de 70 milhões de dólares. Todo mundo achou que o dinheiro tinha ido embora.
$ETH ‌
Mas a governança de segurança do Arbitrum agiu. 9 pessoas assinaram uma multiassinatura, fizeram uma atualização emergencial no contrato da ponte entre blockchains, e adicionaram uma função milagrosa: iniciar transações em nome de qualquer carteira, sem precisar de chave privada.
$RAVE ‌
Depois, eles falsificaram uma mensagem, colocando o endereço do hacker como remetente, com o conteúdo: “Transfira todo o meu ETH.” A cadeia executou a ordem, e o dinheiro foi para um endereço de bloqueio. Atualizar, falsificar, transferir, recuperar — uma única transação resolveu tudo. O hacker não soube o que tinha acontecido, e os registros na cadeia pareciam que ele mesmo tinha feito a operação.

Resumindo: 9 pessoas fizeram uma reunião, fingiram ser hackers, e “roubaram” de volta 70 milhões de dólares.

Resultado ótimo, método ousado

A comunidade ficou dividida. Um lado elogiou, dizendo que protegeram os ativos; o outro questionou — só 9 pessoas podem assinar e transferir em nome de qualquer um, isso é descentralização? Griff Green, membro da governança do Arbitrum, respondeu que a decisão não foi tomada de ânimo leve, os membros discutiram “por inúmeras horas” sob aspectos técnicos, práticos, morais e políticos, e só depois votaram.

Mas o problema não é quanto tempo eles discutiram, e sim o fato de terem esse poder. 9 assinaturas, atualização instantânea do contrato principal. Dessa vez, para pegar o hacker, e na próxima?

A palavra “descentralização” está cada vez mais parecendo um discurso de convenção

Curiosamente, o Arbitrum não é único. Quase todas as principais soluções de Layer 2 atuais mantêm esse tipo de permissão de atualização emergencial: Optimism tem uma governança de 12 pessoas, Polygon permite multiassinatura para patches, MakerDAO tem um procedimento de parada emergencial. A cadeia que você usa provavelmente também tem um grupo de pessoas com uma chave universal. Isso não é invenção exclusiva do Arbitrum, é o padrão atual do Layer 2.

Chave esgotada, ela foi usada?

O Arbitrum diz que, após a atualização do contrato, a versão antiga foi restaurada. A chave foi criada, uma porta foi aberta, e o dinheiro foi recuperado. Mas a capacidade de criar chaves ainda existe. Na próxima, eles podem criar outra? Claro que podem. Essa é a função da governança — agir em emergências. Mas quem define o que é emergência? Eles.

Mais realista

Os 292 milhões roubados, 70 milhões recuperados, menos de um quarto. O restante do ETH ainda está disperso em outras cadeias, e mais de 1 bilhão de dólares em dívidas ruins na Aave ainda não foram resolvidos. Essa batalha ainda não acabou.

Resultado bom, mas método ousado. Dessa vez, para pegar o hacker, e na próxima, o que farão?