Arbitrum dengan nama hacker, "mencuri" kembali 70 juta dolar yang dicuri

Penulis Asli: Deep潮 TechFlow

Minggu lalu KelpDAO dicuri oleh hacker hampir 300 juta dolar, menjadi insiden keamanan negatif terbesar di DeFi tahun ini sejauh ini.

ETH yang dicuri sekarang tersebar di beberapa chain, di mana sekitar 30.765 di antaranya tersimpan di satu alamat di chain Arbitrum, bernilai lebih dari 70 juta dolar.

Cerita ini seharusnya sudah selesai, hari ini muncul lanjutan ceritanya.

Menurut lembaga keamanan chain PeckShield yang memantau, uang di alamat hacker di chain Arbitrum beberapa jam yang lalu sudah dipindahkan, tetapi anehnya uang tersebut dipindahkan ke alamat aneh yang tampaknya hampir seluruhnya berisi nol, 0x00000… .

Semua orang saat itu menebak, apakah hacker sendiri memasukkan uang ke alamat lubang hitam lalu membakarnya? Atau merasa bersalah atau sudah diserahkan?

Bukan keduanya.

Beberapa jam yang lalu, forum resmi Arbitrum mengeluarkan pengumuman tindakan darurat yang menjelaskan situasinya. Uang hacker tersebut telah dipindahkan oleh Dewan Keamanan Arbitrum.

Namun yang menakjubkan, tanpa mengetahui kunci pribadi alamat hacker, Dewan Keamanan Arbitrum sama sekali tidak membekukan uang hacker maupun memiliki wewenang untuk mentransfer, melainkan langsung mengirim instruksi transfer “atas nama hacker”.

Hacker sendiri tidak tahu-menahu, kunci pribadinya tidak bocor, dan catatan di chain tampak seperti hacker yang melakukan sendiri.

Prinsip dari operasi ini adalah, semua pesan lintas chain antara Arbitrum dan Ethereum harus melalui sebuah kontrak jembatan bernama Inbox. Dewan Keamanan menggunakan hak darurat untuk sementara meningkatkan versi kontrak ini, menambahkan fungsi baru:

Mengirim transaksi lintas chain atas nama alamat wallet sembarang, tetapi tanpa perlu kunci pribadi wallet tersebut.

Kemudian mereka menggunakan fungsi ini untuk memalsukan sebuah pesan, pengirimnya tertulis sebagai wallet hacker, isinya adalah “Pindahkan ETH saya semua ke alamat pembekuan”. Setelah chain Arbitrum menerima, kontrak tersebut menjalankan sesuai prosedur, sehingga muncul screenshot transfer aneh di atas.

Setelah uang hacker dipindahkan, kontrak ini langsung kembali ke versi semula. Upgrade, pemalsuan, transfer, dan pemulihan semuanya dilakukan dalam satu transaksi Ethereum. Pengguna dan aplikasi lain sama sekali tidak terpengaruh.

Operasi ini, dalam sejarah Arbitrum, tidak pernah terjadi sebelumnya.

Menurut pengumuman di forum, Dewan Keamanan sebelumnya telah mengonfirmasi identitas hacker kepada aparat penegak hukum, yang mengarah ke Lazarus Group dari Korea Utara, organisasi hacker tingkat nasional paling aktif di bidang DeFi tahun ini. Dewan melakukan evaluasi teknis dan memastikan tidak mempengaruhi pengguna lain sebelum melakukan tindakan.

Karena tindakan hacker sudah jelas salah, langkah ini terkesan “jangan salahkan semua orang karena tidak beretika”. Bagaimana penanganan ETH yang dibekukan selanjutnya akan melalui voting tata kelola DAO Arbitrum, dan berkoordinasi dengan aparat penegak hukum.

Mengembalikan lebih dari 70 juta dolar yang dicuri tentu hal yang baik. Tapi, syarat utama keberhasilan ini perlu diperhatikan, bahwa 9 dari 12 anggota Dewan Keamanan dapat menandatangani, sehingga bisa melewati semua voting tata kelola, melakukan upgrade kontrak inti di chain tanpa penundaan.

Puji hasilnya, khawatir kemampuan?

Saat ini, reaksi komunitas terhadap kejadian ini cukup terbagi.

Sebagian merasa Arbitrum melakukan hal yang bagus, di saat kritis melindungi aset, bahkan meningkatkan kepercayaan terhadap L2. Sebagian lain menanyakan pertanyaan langsung: jika 9 orang bisa menandatangani dan menggerakkan aset atas nama siapa saja, apakah ini masih disebut desentralisasi?

Penulis berpendapat, kedua pihak sebenarnya berbicara tentang hal yang berbeda.

Yang pertama berbicara tentang hasil, yang kedua tentang kemampuan. Hasilnya tentu baik, dana lebih dari 70 juta berhasil dipulihkan. Tapi kemampuan Dewan untuk mengubah fungsi kontrak multi-tanda ini sendiri bersifat netral; penggunaan kemampuan ini untuk mengejar hacker, apa yang bisa dilakukan, apakah bisa dilakukan, dan bagaimana caranya, semuanya sangat tergantung pada tata kelola dewan.

Namun, bagi kebanyakan pengguna Arbitrum, diskusi ini mungkin tidak seefektif fakta lain. Arbitrum tidak istimewa, saat ini hampir semua L2 utama memiliki hak upgrade darurat serupa.

Chain yang Anda gunakan kemungkinan besar juga memiliki Dewan Keamanan serupa, dengan kemampuan yang sama. Ini bukan pilihan unik Arbitrum, saat ini hampir semua L2 mengadopsi desain umum ini.

Dari sudut pandang lain, serangan dan pertahanan ini sebenarnya mengungkapkan gambaran yang lebih besar.

Penyerang adalah Lazarus Group dari Korea Utara, yang sejak awal tahun ini dikaitkan dengan setidaknya 18 serangan DeFi. Tiga minggu lalu, mereka baru saja mencuri 285 juta dolar dari Drift Protocol, dengan metode yang sama sekali berbeda.

Di satu sisi, hacker tingkat nasional terus meningkatkan metode serangan mereka, di sisi lain, L2 mulai menggunakan hak dasar untuk melawan balik. Keamanan DeFi sedang memasuki tahap baru, dari “pembekuan pasca kejadian, panggilan di chain, dan doa agar white hat masuk” menjadi sesuatu yang lebih maju.

Dalam situasi darurat ini, mereka membuat kunci serbaguna untuk membuka alamat hacker, lalu setelah selesai, mengembalikan kunci tersebut. Dari kejadian ini, kemampuan untuk menghadapi serangan hacker sebenarnya tidak buruk.

Dan jika harus mengangkat masalah ini ke diskusi filosofi “tidak desentralisasi sama sekali”, maka banyak hal yang bisa dikatakan. Berbagai operasi sentralisasi di industri kripto tidak sedikit, setidaknya kali ini mereka menangani kejadian negatif dan menyelesaikan masalah, bukan menciptakan masalah.

Secara pragmatis, KelpDAO yang dicuri adalah 292 juta dolar, yang berhasil dipulihkan hanya 70 juta lebih, kurang dari seperempat totalnya. ETH yang tersisa tersebar di chain lain, utang buruk di Aave lebih dari 1 miliar dolar belum terselesaikan, dan pemilik rsETH masih belum tahu berapa banyak yang bisa mereka tarik kembali.

Bahkan jika Arbitrum menggunakan hak istimewa seperti dewa, pertempuran ini jelas belum berakhir.