Член Совета безопасности Arbitrum предупреждает о рисках DeFi после возврата криптовалюты Северной Кореи на $72 млн

TLDR:

• Совет безопасности Arbitrum заморозил 72 млн $ похищенных средств, отслеженных до северокорейских кошельков через атаку на мост Kelp DAO.
• Гриф Грин предупреждает, что утечка приватных ключей и социальная инженерия теперь представляют большую угрозу, чем уязвимости смарт-контрактов.
• Aave и аналогичные кредитные протоколы подверглись критике за слишком мягкое управление рисками, связанными с токенами ликвидного стейкинга.
• Возвращённые 70 млн $ будут перераспределены между пострадавшими пользователями путём децентрализованного голосования держателей токенов Arbitrum DAO.

Член Совета безопасности Arbitrum Гриф Грин выразил обеспокоенность тем, как кредитные протоколы обращаются с токенами ликвидного стейкинга.

Грин, ветеран взлома Ethereum DAO в 2016 году, указал на операционные пробелы в безопасности децентрализованных финансов (DeFi). Он высказался после возврата 72 млн $ похищенных криптоактивов, связанных с северокорейскими хакерами.

Инцидент был связан с эксплойтом Kelp DAO, затронувшим Aave, и привёл к краже примерно 300 млн $ токенов через атаку на кроссчейн-мост.

Совет Arbitrum вмешался, чтобы заморозить похищенные средства

Совет безопасности Arbitrum действовал оперативно после того, как 72 млн $ были отслежены до кошельков, контролируемых Северной Кореей. Совет работает как группа с мультиподписью девять из двенадцати и наделён полномочиями для экстренного вмешательства.

Совместно с командой Seal 911 совет заморозил похищенные средства на новом адресе. Этот адрес остаётся недоступным для злоумышленников, что фактически предотвращает любое дальнейшее перемещение средств.

Грин отметил, что это был первый случай, когда совет напрямую использовал свои полномочия для заморозки средств. Ранее эти полномочия распространялись только на обновления протокола и исправление ошибок.

Действие опиралось на социальный консенсус, а не на неизменяемость кода. Грин сослался на хардфорк Ethereum DAO 2016 года как на прецедент для подобного вмешательства.

О природе блокчейнов Грин высказался прямо: «Блокчейны не являются неизменяемыми и могут быть изменены посредством социального консенсуса.»

Он указал на хардфорк Ethereum DAO как на доказательство того, что сообщество может действовать при необходимости. Однако на этот раз на кону стояли средства другой стороны, а не его собственные. Это различие делало усилия по возврату средств менее личными, но не менее срочными.

Возвращённые 70 млн $ теперь перейдут под управление Arbitrum DAO. Держатели токенов проголосуют за то, как перераспределить эти средства среди пострадавших пользователей.

Этот подход отражает децентрализованное управление на практике. Он также создаёт прецедент для обращения с похищенными средствами в будущих инцидентах.

Грин указывает на слабую операционную безопасность в отрасли

Грин заявил, что уязвимости смарт-контрактов больше не являются главной угрозой для крипторынка. Вместо этого он указал на сбои в операционной безопасности, такие как утечка приватных ключей.

Северокорейские злоумышленники, в частности, в значительной мере полагаются на тактику социальной инженерии. Эти методы полностью обходят защиту на уровне кода и направлены против человеческих уязвимостей.

Говоря о более широком разрыве в сфере безопасности, Грин предупредил, что отрасль должна соответствовать стандартам зрелых технологических компаний.

Он отметил, что злоумышленники, подобные северокорейским, «часто прибегают к социальной инженерии, а не к эксплойтам смарт-контрактов». Такое изменение тактики означает, что одних лишь технических аудитов больше недостаточно. Команды также должны укреплять свои внутренние процессы и контроль доступа.

Грин также затронул вопрос о том, как кредитные протоколы, подобные Aave, подходят к токенам ликвидного стейкинга. По его мнению, эти платформы «слишком мягко обращаются с токенами ликвидного стейкинга» и упускают из виду связанные технические риски.

Такое упущение создаёт уязвимости, которыми злоумышленники могут воспользоваться через атаки на кроссчейн-мосты. Более строгие механизмы управления рисками в отношении этих активов значительно снизили бы данную уязвимость.

В перспективе Грин поддерживает текущие инициативы, такие как Фонд безопасности DAO. Эта инициатива направлена на выявление и поддержку критически важных проектов в сфере безопасности в экосистеме Ethereum.

Более надёжная инфраструктура со временем приносит пользу всей экосистеме. Долгосрочная цель — сделать крипторынок безопасным и доступным для обычных пользователей.

Публикация Член Совета безопасности Arbitrum указывает на риски DeFi после возврата 72 млн $ похищенной криптовалюты, связанной с Северной Кореей, впервые появилась на Blockonomi.