Arbitrum fait semblant d'être un hacker, « volant » l'argent perdu par KelpDAO

Titre original : « Arbitrum fait semblant d’être un hacker, il a « volé » l’argent perdu par KelpDAO et le a « récupéré » »
Source originale : DeepTech TechFlow

La semaine dernière, KelpDAO a été victime d’un hacker qui a volé près de 300 millions de dollars, devenant ainsi la plus grande faille de sécurité DeFi de cette année.

Les ETH volés sont maintenant dispersés sur plusieurs chaînes, dont environ 30 765 restent dans une adresse sur la chaîne Arbitrum, d’une valeur de plus de 70 millions de dollars.

Ce récit semblait déjà terminé, mais aujourd’hui, une suite est sortie.

Selon l’organisme de sécurité on-chain PeckShield, l’argent dans l’adresse du hacker sur la chaîne Arbitrum a été transféré il y a quelques heures, mais étrangement, ces fonds ont été envoyés à une adresse étrange 0x00000… qui semble presque vide.

Tout le monde spéculait alors : le hacker lui-même aurait-il mis l’argent dans une adresse noire pour le brûler ? Ou aurait-il eu une conscience ou aurait été recruté ?

Ce n’est pas le cas.

Il y a quelques heures, le forum officiel d’Arbitrum a publié un communiqué d’urgence expliquant la situation. L’argent du hacker a été transféré par le conseil de sécurité d’Arbitrum.

Mais ce qui est étonnant, c’est qu’en l’absence de la clé privée de l’adresse du hacker, le conseil d’Arbitrum n’a pas gelé les fonds, ni n’a eu le droit de faire un transfert, mais a plutôt envoyé une instruction de transfert « au nom du hacker ».

Le hacker lui-même n’était pas au courant, sa clé privée n’a pas été compromise, et les enregistrements sur la blockchain donnent l’impression que c’est lui qui a effectué cette opération.

Le principe derrière cette opération est que tous les messages inter-chaînes entre Arbitrum et Ethereum passent par un contrat de pont appelé Inbox. Le conseil de sécurité a utilisé une permission d’urgence pour mettre à jour temporairement ce contrat, en y ajoutant une nouvelle fonction :

Envoyer une transaction inter-chaînes au nom de n’importe quel portefeuille, sans nécessiter la clé privée de ce portefeuille.

Ils ont utilisé cette fonction pour falsifier un message, dont l’expéditeur était le portefeuille du hacker, avec pour contenu « transférer tout mon ETH vers une adresse de gel ». La chaîne Arbitrum a exécuté cela comme d’habitude, ce qui explique la scène étrange dans la capture d’écran de la transaction.

Après avoir transféré l’argent du hacker, ce contrat a été immédiatement rétrogradé à sa version originale. La mise à jour, la falsification, le transfert, puis la restauration ont été toutes réalisées dans une seule transaction Ethereum. Les autres utilisateurs et applications n’ont pas été affectés.

Cette opération n’a pas d’équivalent dans l’histoire d’Arbitrum.

Selon l’annonce sur le forum, le conseil de sécurité a préalablement confirmé l’identité du hacker avec les autorités, qui pointent vers le groupe Lazarus de Corée du Nord, la plus active des organisations de hackers à l’échelle nationale dans le domaine DeFi cette année. Après une évaluation technique, ils ont décidé d’agir, en s’assurant de ne pas affecter les autres utilisateurs.

Puisque le hacker a agi de manière incorrecte en premier lieu, cette manœuvre peut être vue comme « ne pas reprocher à tout le monde de manquer d’éthique ». Quant à la gestion des ETH gelés par la suite, cela devra passer par un vote de gouvernance DAO d’Arbitrum, en coordination avec les autorités.

Récupérer plus de 70 millions de dollars volés est évidemment une bonne chose. Mais il faut noter que la condition préalable à cette opération est que 9 membres sur 12 du conseil de sécurité ont signé, ce qui permet de contourner tous les votes de gouvernance, et de mettre à jour instantanément n’importe quel contrat central sur la chaîne.

Félicitations pour le résultat, mais inquiétudes quant à la capacité ?

Actuellement, la réaction de la communauté face à cette affaire est très divisée.

Certains pensent qu’Arbitrum a bien agi, en protégeant les actifs au moment critique, renforçant ainsi la confiance dans le Layer 2. D’autres posent une question très directe : si 9 personnes peuvent signer pour agir au nom de n’importe qui, cela ne remet-il pas en question la décentralisation ?

Je pense que les deux parties ne parlent pas de la même chose.

Les premiers parlent du résultat, les seconds de la capacité. Le résultat est certainement positif, les 70 millions de dollars volés ont été récupérés. Mais la capacité à modifier la fonction du contrat multi-signature d’Arbitrum est neutre en soi ; ce qui compte, c’est comment cette capacité sera utilisée à l’avenir, ce qu’on pourra en faire, et si cela sera autorisé, tout dépend de la gouvernance du conseil.

Cependant, pour la majorité des utilisateurs d’Arbitrum, cette discussion pourrait être moins concrète que le fait qu’Arbitrum n’est pas unique. La plupart des L2 principaux disposent d’un mécanisme d’urgence similaire pour des mises à jour.

Il y a de fortes chances que la chaîne que vous utilisez ait aussi un conseil de sécurité similaire, avec des capacités analogues. Ce n’est plus une particularité d’Arbitrum, mais une conception commune à presque tous les L2 à ce stade.

D’un autre point de vue, cette attaque et cette défense révèlent en réalité une image plus grande.

L’attaquant est le groupe Lazarus de Corée du Nord, qui a été attribué à au moins 18 attaques DeFi cette année. Il y a trois semaines, ils ont volé 285 millions de dollars via Drift Protocol, en utilisant une méthode complètement différente.

D’un côté, des hackers de niveau national qui améliorent constamment leurs techniques d’attaque, et de l’autre, des L2 qui commencent à utiliser leurs permissions fondamentales pour riposter. La sécurité dans la DeFi entre dans une nouvelle phase, passant de « gel après coup, appels sur la chaîne, prière aux white hats » à une nouvelle étape.

En créant une clé universelle pour ouvrir l’adresse du hacker en période critique, puis en la fondant après coup, ils montrent qu’ils ont la capacité de faire face aux attaques. Ce n’est pas une faiblesse, mais une preuve de leur capacité.

Et si l’on doit vraiment faire de cette situation une discussion philosophique sur la « non-décentralisation » à tout prix, il y aurait beaucoup à dire. La centralisation dans l’industrie de la cryptographie n’est pas rare, et cette fois, ils ont au moins géré un incident négatif et résolu le problème, plutôt que de le créer.

En regardant de façon pragmatique, le vol de KelpDAO s’élève à 292 millions de dollars, dont plus de 70 millions ont été récupérés, ce qui représente moins d’un quart du total. Le reste des ETH est toujours dispersé sur d’autres chaînes, et plus d’un milliard de dollars de créances douteuses sur Aave n’ont pas encore été réglés. La quantité d’rsETH que les détenteurs pourront récupérer reste inconnue.

Même si Arbitrum a utilisé ses permissions d’administrateur, cette bataille est clairement loin d’être terminée.

Lien original

Cliquez pour en savoir plus sur BlockBeats et ses offres d’emploi

Rejoignez la communauté officielle de BlockBeats :

Abonnement Telegram : https://t.me/theblockbeats

Groupe Telegram : https://t.me/BlockBeats_App

Compte officiel Twitter : https://twitter.com/BlockBeatsAsia