Arbitrum은 해커인 척하여 KelpDAO가 손실한 자금을 "도난"했습니다

深潮TechFlow

이 글을 읽으려면 11 분

심지어 Arbitrum 이 신의 권한을 동원했음에도, 이 싸움은 아직 끝나지 않은 것으로 보인다.

원문 제목: "Arbitrum이 해킹자로 위장하여 KelpDAO가 잃은 자금을 도난당한 것으로 '도난'했습니다"

지난 주 KelpDAO는 해커에게 약 3억 달러를 훔겼다가, 올해 DeFi에서 가장 큰 부정적 보안 사건이 발생했습니다.

훔긴 이더리움은 현재 여러 체인에 흩어져 있으며, 그 중 약 30,765개의 이더리움이 Arbitrum 체인 상의 한 주소에 남아 있어서 7,000만 달러 이상의 가치를 지니고 있습니다.

이 이야기는 이미 끝났다고 생각했지만, 오늘 새로운 에피소드가 시작되었습니다.

PeckShield 블록체인 보안 기관의 모니터링에 따르면, Arbitrum 체인 상의 해커 주소에 있던 자금이 몇 시간 전에 이미 이체되었으나, 이 자금이 거의 모두 0x00000...으로 보이는 이상한 주소로 이체되었습니다.

당시 모두는 해커 자신이 돈을 버려 어디론가 보낸 것일까 추측했습니다. 혹은 양심에 착한 행동을 한 것인지, 아니면 누군가에 의해 영입되었는지요?

하나도 아닙니다.

몇 시간 전, Arbitrum 공식 포럼에 긴급 조치 공지가 올라와 상황이 설명되었습니다. 해커의 자금은 Arbitrum 보안 이사회에 의해 인계되었습니다.

그럼에도 불구하고, 해커 주소의 개인 키를 알지 못한 채, Arbitrum 이사회는 해당 자금을 동결시키거나 이체할 권한이 없었으며, 대신 직접적으로 '해커의 명의'로 자금을 이체하도록 지시했습니다.

해커는 이 사실을 모르며, 개인 키가 유출되지 않은 채, 블록체인 상의 기록상으로 자신이 직접 행한 것처럼 보입니다.

이러한 작업을 가능케 한 원리는, Arbitrum과 이더리움 사이의 모든 크로스체인 메시지가 Inbox라는 브릿지 스마트 계약을 통과해야 한다는 것이며, 이 사건을 위해 보안 이사회가 긴급 권한을 동원해 이 스마트 계약을 일시적으로 업그레이드하고 새로운 함수를 추가했습니다:

임의의 지갑 주소의 명의로 크로스체인 트랜잭션을 발생시킬 수 있지만, 해당 지갑의 개인 키는 필요로하지 않습니다.

그런 다음 그들은 이 함수를 사용하여 메시지를 위조했습니다. 발신자가 사용한 것은 해커 지갑이며 내용은 「나의 ETH를 모두 동결 주소로 보내세요」였습니다. Arbitrum 체인은 이를 받은 후 일반적으로 실행하여 위의 온체인 송금 스크린 샷에 나타난 기이한 장면이 발생했습니다.

해커의 자금을 모두 보낸 후, 이 계약은 즉시 원래 버전으로 롤백되었습니다. 업그레이드, 위조, 송금, 복구가 모두 이더리움 트랜잭션 하나에 포장되어 완료되었습니다. 다른 사용자 및 애플리케이션에는 전혀 영향을 미치지 않았습니다.

이 작업은 Arbitrum의 역사에서 예측할 수 없었습니다.

포럼 공지에 따르면, 보안 위원회는 사전에 사법 당국과의 협의를 통해 해커의 신원을 확인했으며 북한의 Lazarus 그룹을 가리키는 국가적 해커 조직으로 확인되었습니다. 위원회는 기술 평가를 수행하여 다른 사용자에게 영향을 미치지 않도록 보장한 후 조치를 취했습니다.

해커가 먼저 잘못한 경우, 이 조치는 약간의 「모두가 예의를 지키지 않아도 된다」라는 뜻을 가지게 됩니다. 이후 동결된 ETH를 어떻게 처리할지에 대해서는 Arbitrum의 DAO 거버넌스 투표를 거칠 것이며, 사법 당국과 조율될 것입니다.

7천만 달러가 넘는 훔친 자금을 회수하는 것은 물론 좋은 일입니다. 그러나 이 작업을 이루기 위한 전제 조건은 주목할 가치가 있습니다. 보안 위원회의 12명 중 9명의 서명만으로 모든 거버넌스 투표를 우회할 수 있으며 핵심 계약을 즉각 업그레이드할 수 있습니다.

성과를 찬양하며, 능력에 대해 우려하다?

현재, 커뮤니티의 이 사안에 대한 반응은 크게 분분합니다.

일부 사람들은 Arbitrum이 훌륭한 일을 했다고 생각하며 중요한 시기에 자산을 지켰다는 점으로 L2에 대한 신뢰가 조금 더 높아졌다고 생각합니다. 그러나 다른 일부 사람들은 매우 직접적인 질문을 했습니다. 9명의 서명만으로 누구의 이름으로든지 자산을 이동할 수 있다면 이것이 분산화라고 할 수 있을까요.

筆者는 두 그룹이 실제로 다른 주제에 대해 이야기하고 있다고 봅니다.

앞선 그룹은 결과를 언급하고, 뒤에 그룹은 능력을 언급하고 있습니다. 이 사안의 결과는 확실히 좋습니다. 7천만 달러가 넘는 펀드가 회수되었습니다. 그러나 Arbitrum이 이번에 보인 다중 서명 변경 계약 함수의 능력 자체는 중립적입니다. 이번에는 해커를 추적하기 위해 사용되었지만, 앞으로는 무엇을 할 것이며, 할 수 있는 것들은 무엇이며, 어떻게 할 것인지는 사실상 위원회의 거버넌스에 달려 있습니다.

그러나 대다수의 Arbitrum 사용자에게는이 토론이 매우 현실적인 다른 사실이 없다는 점이 있을 수 있습니다. Arbitrum은 특별하지 않으며, 현재 주류 L2는 거의 모두 비슷한 긴급 업그레이드 권한을 유지하고 있습니다.

당신이 사용하는 그 체인에는 아마도 비슷한 보안 이사회가 있으며 비슷한 능력을 갖고 있을 것입니다. 이제는 Arbitrum의 고유 선택이 아니며 L2는 현재 거의이 일반적인 설계를 갖고 있습니다.

다른 관점에서는이 공격과 방어가 실제로 더 큰 그림을 드러냈습니다.

공격 측은 북한의 Lazarus 그룹으로, 올해 최소 18 건의 DeFi 공격에 속한다고 보고되었습니다. 3 주 전에는 Drift Protocol에서 2.85 억 달러를 훔쳤으며 전혀 다른 방법을 사용했습니다.

한편으로는 국가 스케일의 해커가 계속해서 공격 방식을 개선하고 있으며, 다른 한편으로는 L2가 기본 권한을 사용하여 반격을 시작하고 있습니다. DeFi의 보안 전투는 "사후 동결, 체인 상 간계, 백해자 개입 기도"에서 새로운 단계로 진입하고 있습니다.

해커의 주소를 열어둔 만능 열쇠를 만들어 비상 시 사용한 후 버린 시점에서 봤을 때, 해커의 공격에 대처할 능력은 나쁘지 않다고 말할 수 있습니다.

그리고 만약 상황을 극단적으로 중앙화에 대한 철학적 토론으로 끌어올려야 한다면, 그런 말할 것이 많을 것입니다. 암호화 통화 산업에서 중앙화된 다양한 조치가 적지 않으며, 이번 사건은 적어도 부정적인 사건을 조작하는 대신 부정적인 사건을 처리하고 문제를 해결하고 있습니다.

다시 현실적으로 돌아와서, KelpDAO가 훔긴 금액은 2.92 억이며 회수 된 금액은 7천만 이상이지만, 전체 금액의 1/4 미만입니다. 남은 ETH는 여러 다른 체인에 흩어져 있으며, Aave에는 1 억 달러 이상의 빚이 아직 처리되지 않았고, rsETH 보유자가 얼마나 회수할 수 있을지는 알려지지 않았습니다.

심지어 Arbitrum이 신의 권한을 동원했음에도이 전투는 분명 아직 끝나지 않았습니다.