Arbitrum giả danh hacker, 'lấy lại' số tiền bị mất của KelpDAO.

Tựa gốc: "Arbitrum giả danh hacker, thu hồi tiền bị đánh cắp cho KelpDAO"

Tuần trước, KelpDAO đã bị tấn công mạng, mất gần 300 triệu đô la, đánh dấu sự cố an ninh DeFi lớn nhất trong năm tính đến thời điểm hiện tại.

Số ETH bị đánh cắp hiện đang phân tán trên nhiều chuỗi khối, với khoảng 30.765 ETH còn lại trong một địa chỉ trên chuỗi Arbitrum, trị giá hơn 70 triệu đô la.

Ngay khi mọi người tưởng rằng câu chuyện đã kết thúc, một diễn biến mới lại tiếp tục diễn ra hôm nay.

Theo công ty bảo mật chuỗi khối PeckShield, số tiền trong địa chỉ của hacker trên chuỗi Arbitrum đã được chuyển đi vài giờ trước, nhưng điều kỳ lạ là số tiền này được gửi đến một địa chỉ dường như toàn là số không, chẳng hạn như 0x00000...

Vào thời điểm đó, mọi người đều bàn tán xôn xao: Liệu tin tặc có đốt hết số tiền đó vào một địa chỉ "hố đen" không? Hay là họ đã thay đổi ý định hoặc nhận hối lộ?

Không.

Vài giờ trước, một thông báo khẩn cấp đã được đăng tải trên diễn đàn chính thức của Arbitrum để giải thích tình hình. Số tiền của hacker đã được Hội đồng An ninh của Arbitrum chuyển đi.

Điều thú vị là, mà không biết khóa riêng của địa chỉ email của hacker, Hội đồng Trọng tài không đóng băng tiền của hacker cũng như không có thẩm quyền chuyển tiền; thay vào đó, họ trực tiếp đưa ra lệnh chuyển tiền "thay mặt cho hacker".

Bản thân hacker cũng không hề hay biết, khóa riêng tư không bị xâm phạm, và các bản ghi trên chuỗi khối cho thấy hacker đã thực hiện thao tác này.

Nguyên tắc hoạt động của cơ chế này là tất cả các thông điệp xuyên chuỗi giữa Arbitrum và Ethereum đều đi qua một hợp đồng cầu nối có tên là Inbox. Hội đồng Bảo an đã sử dụng quyền hạn khẩn cấp để tạm thời nâng cấp hợp đồng này, bổ sung thêm một chức năng mới:

Gửi giao dịch xuyên chuỗi thay mặt cho bất kỳ địa chỉ ví nào mà không cần khóa riêng của ví đó.

Sau đó, họ sử dụng chức năng này để giả mạo một tin nhắn, trong đó địa chỉ người gửi là ví của hacker và nội dung ghi là “Chuyển toàn bộ ETH của tôi đến địa chỉ bị đóng băng”. Khi chuỗi khối Arbitrum nhận được nó, cảnh tượng kỳ lạ được ghi lại trong ảnh chụp màn hình chuyển khoản trên chuỗi đã xảy ra.

Sau khi chuyển tiền cho hacker, hợp đồng ngay lập tức tự hủy và trở về trạng thái ban đầu. Quá trình nâng cấp, làm giả, chuyển khoản và khôi phục đều được gói gọn trong một giao dịch Ethereum duy nhất. Những người dùng và ứng dụng khác hoàn toàn không bị ảnh hưởng.

Hoạt động này chưa từng có tiền lệ trong lịch sử của Arbitrum.

Theo một thông báo trên diễn đàn, Hội đồng Bảo an đã xác nhận danh tính của hacker với cơ quan thực thi pháp luật trước đó, chỉ ra nhóm Lazarus của Triều Tiên, tổ chức hacker cấp nhà nước hoạt động tích cực nhất trong không gian DeFi năm nay. Hội đồng đã tiến hành đánh giá kỹ thuật, đảm bảo không ảnh hưởng đến người dùng khác trước khi thực hiện bất kỳ hành động nào.

Vì tin tặc đã hành động với ý đồ xấu trước, nên hành động này có phần giống với câu nói "kẻ trộm không có danh dự". Về cách xử lý số ETH bị đóng băng trong tương lai, vấn đề này sẽ được đưa ra bỏ phiếu trong quy trình quản trị DAO của Arbitrum, phối hợp với cơ quan thực thi pháp luật.

Việc thu hồi được hơn 70 triệu đô la tiền bị đánh cắp chắc chắn là một kết quả tích cực. Tuy nhiên, cần lưu ý điều kiện tiên quyết để đạt được điều này: trong số 12 thành viên của Hội đồng Bảo mật, chỉ cần 9 chữ ký là đủ để bỏ qua bất kỳ cuộc bỏ phiếu quản trị nào và nâng cấp suôn sẻ bất kỳ hợp đồng cốt lõi nào trên chuỗi.

Hoan nghênh kết quả, nhưng có lo ngại về quyền lực?

Hiện tại, phản ứng của cộng đồng đối với vụ việc này khá trái chiều.

Một số người cho rằng hành động của Arbitrum đáng khen ngợi, vì đã bảo vệ tài sản vào thời điểm quan trọng và thậm chí còn củng cố niềm tin vào L2. Những người khác đặt ra câu hỏi trực tiếp: nếu 9 chữ ký có thể chuyển nhượng bất kỳ tài sản nào dưới tên bất kỳ ai, thì điều này còn được coi là phi tập trung nữa không?

Theo quan điểm của tác giả, hai bên thực chất không đang thảo luận về cùng một vấn đề.

Cái trước nói về kết quả, còn cái sau bàn về quyền lực. Kết quả của vụ việc này chắc chắn là tích cực, với hơn 70 triệu đô la tiền bị đánh cắp đã được thu hồi. Tuy nhiên, khả năng mà Arbitrum thể hiện lần này với chức năng hợp đồng đa chữ ký tự nó không mang tính độc lập; việc nó sẽ được sử dụng như thế nào trong tương lai, nó có thể làm được gì và làm thế nào để thực hiện điều đó thực sự phụ thuộc vào sự quản trị của ủy ban.

Tuy nhiên, đối với hầu hết người dùng Arbitrum, cuộc thảo luận này có thể không thực tế lắm nếu thiếu một thông tin khác. Arbitrum không phải là trường hợp duy nhất, vì hầu hết các giải pháp L2 phổ biến hiện nay đều duy trì khả năng nâng cấp khẩn cấp tương tự.

Chuỗi khối bạn đang sử dụng rất có thể cũng có một Hội đồng Bảo mật tương tự với các chức năng tương đương. Đây không phải là lựa chọn duy nhất của Arbitrum. Ở giai đoạn hiện tại, hầu hết các giải pháp L2 đều có thiết kế chung này.

Nhìn từ một góc độ khác, cuộc tấn công và phòng thủ này thực chất đã hé lộ một bức tranh toàn cảnh lớn hơn.

Nhóm tấn công là Lazarus Group của Triều Tiên, nhóm này bị cáo buộc thực hiện ít nhất 18 vụ tấn công DeFi trong năm nay. Chỉ ba tuần trước, họ đã đánh cắp 285 triệu đô la từ Drift Protocol bằng một phương pháp hoàn toàn khác.

Một mặt, các hacker cấp nhà nước liên tục nâng cấp phương pháp tấn công của họ, trong khi mặt khác, L2 đang bắt đầu sử dụng các quyền hạn ngầm để chống lại. Cuộc chiến an ninh trong DeFi đang chuyển từ giai đoạn "đóng băng hệ thống sau tấn công, thông báo trên chuỗi, cầu nguyện cho sự can thiệp của tin tặc mũ trắng" sang một giai đoạn mới.

Trong một động thái vô cùng bất thường, một khóa vạn năng đã được tạo ra để mở khóa địa chỉ của hacker, và sau khi hoàn thành nhiệm vụ, khóa này đã bị phá hủy. Chỉ dựa trên sự việc này, khả năng chống lại các cuộc tấn công của tin tặc là không tồi.

Và nếu chúng ta phải nâng vấn đề lên thành một cuộc thảo luận triết học về "điều này hoàn toàn không phải là phi tập trung", thì còn rất nhiều điều để bàn luận. Có rất nhiều hoạt động tập trung trong ngành công nghiệp tiền điện tử, nhưng lần này, trọng tâm là xử lý sự kiện tiêu cực và giải quyết vấn đề, chứ không phải gây ra sự kiện tiêu cực.

Xét trên khía cạnh thực tế hơn, KelpDAO đã bị đánh cắp 292 triệu đô la, nhưng chỉ thu hồi được hơn 70 triệu đô la, tức là chưa đến một phần tư tổng số . Số ETH còn lại vẫn đang nằm rải rác trên các chuỗi khác, khoản nợ xấu hơn 100 triệu đô la trên Aave vẫn chưa được giải quyết, và số tiền mà những người nắm giữ rsETH sẽ thu hồi được vẫn chưa được biết.

Mặc dù Arbitrum đã kích hoạt quyền "chế độ bất khả chiến bại", rõ ràng là cuộc chiến còn lâu mới kết thúc.

Liên kết bài viết gốc