Członek Rady Bezpieczeństwa Arbitrum ostrzega przed ryzykiem DeFi po odzyskaniu kryptowalut Korei Północnej wartości 72 mln dolarów

TLDR:

• Rada Bezpieczeństwa Arbitrum zamroziła 72 mln USD skradzionych środków powiązanych z północnokoreańskimi portfelami w wyniku ataku na mostek Kelp DAO.
• Griff Green ostrzega, że wyciek kluczy prywatnych i socjotechnika stanowią obecnie większe zagrożenie niż błędy w smart kontraktach.
• Aave i podobne protokoły pożyczkowe są krytykowane za zbyt luźne podejście do zarządzania ryzykiem związanym z tokenami płynnego stakingu.
• Odzyskane 70 mln USD zostanie redystrybuowane do poszkodowanych użytkowników w drodze zdecentralizowanego głosowania posiadaczy tokenów Arbitrum DAO.

Członek Rady Bezpieczeństwa Arbitrum, Griff Green, wyraził obawy dotyczące sposobu, w jaki protokoły pożyczkowe obsługują tokeny płynnego stakingu.

Green, weteran włamania na Ethereum DAO w 2016 roku, wskazał na luki w bezpieczeństwie operacyjnym w całym zdecentralizowanym finansowaniu. Zabrał głos po odzyskaniu 72 milionów dolarów w skradzionych aktywach krypto powiązanych z północnokoreańskimi hakerami.

Incydent dotyczył exploita Kelp DAO, który wpłynął na Aave i doprowadził do kradzieży tokenów o wartości około 300 milionów dolarów za pośrednictwem ataku na mostek.

Rada Arbitrum interweniuje, aby zamrozić skradzione środki

Rada Bezpieczeństwa Arbitrum działała szybko po prześledzeniu 72 milionów dolarów do portfeli kontrolowanych przez Koreę Północną. Rada działa jako grupa dziewięciu z dwunastu sygnatariuszy multi-sig z uprawnieniami do interwencji awaryjnych.

Współpracując z zespołem Seal 911, rada zamroziła skradzione środki na nowym adresie. Adres ten pozostaje niedostępny dla atakujących, skutecznie uniemożliwiając dalszy przepływ środków.

Green zauważył, że był to pierwszy przypadek, gdy rada bezpośrednio wykorzystała swoje uprawnienia do zamrożenia środków. Wcześniej uprawnienia te obejmowały wyłącznie aktualizacje protokołów i naprawianie błędów.

Działanie opierało się na konsensusie społecznym, a nie na niezmienności kodu. Green przywołał hard fork Ethereum DAO z 2016 roku jako precedens dla tego rodzaju interwencji.

W kwestii natury łańcuchów bloków Green był bezpośredni: „Łańcuchy bloków nie są niezmienne i mogą być modyfikowane poprzez konsensus społeczny."

Wskazał na hard fork Ethereum DAO jako dowód na to, że społeczność może działać w razie potrzeby. Tym razem jednak stawką były środki innej strony, a nie jego własne. To rozróżnienie sprawiło, że wysiłek na rzecz odzyskania środków był mniej osobisty, ale nie mniej pilny.

Odzyskane 70 milionów dolarów znajdzie się teraz pod zarządzaniem Arbitrum DAO. Posiadacze tokenów zagłosują nad sposobem redystrybucji tych środków do poszkodowanych użytkowników.

Takie podejście odzwierciedla zdecentralizowane zarządzanie w praktyce. Stanowi również precedens dla sposobu postępowania ze skradzionymi środkami w przyszłych incydentach.

Green wskazuje na słabe bezpieczeństwo operacyjne w całej branży

Green stwierdził, że błędy w smart kontraktach nie są już największym zagrożeniem dla kryptowalut. Zamiast tego wskazał na błędy w bezpieczeństwie operacyjnym, takie jak wycieki kluczy prywatnych.

Aktorzy z Korei Północnej w szczególności w dużym stopniu opierają się na taktykach socjotechnicznych. Metody te całkowicie omijają zabezpieczenia na poziomie kodu i atakują ludzkie słabości.

Odnosząc się do szerszej luki w bezpieczeństwie, Green ostrzegł, że branża musi dorównać standardom dojrzałych firm technologicznych.

Zauważył, że atakujący tacy jak Korea Północna „często polegają na socjotechnice, a nie na exploitach smart kontraktów". Ta zmiana taktyki oznacza, że same audyty techniczne nie są już wystarczające. Zespoły muszą również wzmocnić swoje wewnętrzne procesy i kontrolę dostępu.

Green odniósł się również do tego, jak protokoły pożyczkowe takie jak Aave podchodzą do tokenów płynnego stakingu. Uważa, że platformy te są „zbyt luźne w kwestii tokenów płynnego stakingu" i pomijają leżące u podstaw ryzyko techniczne.

To przeoczenie stwarza ekspozycję, którą złośliwi aktorzy mogą wykorzystać poprzez ataki na mostki. Ściślejsze ramy zarządzania ryzykiem w odniesieniu do tych aktywów znacznie zmniejszyłyby tę podatność.

Patrząc w przyszłość, Green popiera trwające inicjatywy takie jak DAO Security Fund. Inicjatywa ta ma na celu identyfikację i wspieranie kluczowych projektów bezpieczeństwa w całym ekosystemie Ethereum.

Silniejsza infrastruktura przynosi korzyści szerszemu ekosystemowi w dłuższej perspektywie. Uczynienie kryptowalut bezpiecznymi i dostępnymi dla przeciętnych użytkowników pozostaje długoterminowym celem.

Wpis Arbitrum Security Council Member Flags DeFi Risks After $72M North Korea Crypto Recovery pojawił się po raz pierwszy na Blockonomi.