Arbitrum se hace pasar por un hacker y "recupera" el dinero perdido por KelpDAO.

Título original: "Arbitrum se hace pasar por un hacker y recupera fondos robados para KelpDAO"

La semana pasada, KelpDAO sufrió un ataque informático, perdiendo casi 300 millones de dólares, lo que supone el mayor incidente de seguridad en el sector DeFi en lo que va de año.

El ETH robado se encuentra ahora disperso en múltiples cadenas, y alrededor de 30.765 permanecen en una dirección de la cadena Arbitrum, con un valor superior a los 70 millones de dólares.

Justo cuando todos pensaban que la historia había terminado, hoy se desarrolló un nuevo episodio.

Según la empresa de seguridad en cadena PeckShield, los fondos en la dirección del hacker en la cadena Arbitrum fueron transferidos hace unas horas, pero extrañamente, estos fondos fueron enviados a una dirección que parece estar compuesta principalmente por ceros, como 0x00000...

En aquel momento, todo el mundo especulaba: ¿El hacker quemó los fondos en una dirección que ya no existe? ¿O acaso cambiaron de opinión o aceptaron un soborno?

Ni.

Hace unas horas, se publicó un aviso de actuación de emergencia en el foro oficial de Arbitrum explicando la situación. Los fondos del hacker fueron transferidos por el Consejo de Seguridad de Arbitrum.

Curiosamente, sin conocer la clave privada de la dirección del hacker, el Consejo de Arbitraje no congeló los fondos del hacker ni tenía autoridad para transferirlos; en cambio, emitió directamente una instrucción de transferencia "en nombre del hacker".

El propio hacker desconocía lo sucedido, la clave privada no se vio comprometida y los registros en la cadena de bloques parecen indicar que el hacker llevó a cabo la operación.

El principio que rige esta operación es que todos los mensajes entre cadenas distintas de Arbitrum y Ethereum pasan por un contrato puente llamado Bandeja de Entrada. El Consejo de Seguridad utilizó poderes de emergencia para actualizar temporalmente este contrato, añadiéndole una nueva función:

Para enviar una transacción entre cadenas en nombre de cualquier dirección de monedero sin necesidad de la clave privada de ese monedero.

Luego, utilizaron esta función para falsificar un mensaje, cuya dirección de remitente era la billetera del hacker y cuyo contenido decía: "Transfiere todo mi ETH a la dirección congelada". Cuando la cadena de Arbitrum lo recibió, se produjo la extraña escena que se ve en la captura de pantalla de la transferencia en la cadena.

Tras transferir los fondos del hacker, el contrato se autodestruyó inmediatamente, volviendo a su estado original. La actualización, la falsificación, la transferencia y la recuperación se agruparon en una única transacción de Ethereum. Los demás usuarios y aplicaciones no se vieron afectados en absoluto.

Esta operación no tiene precedentes en la historia de Arbitrum.

Según un comunicado del foro, el Consejo de Seguridad había confirmado previamente la identidad del hacker con las fuerzas del orden, señalando al Grupo Lázaro de Corea del Norte, la organización de hackers a nivel estatal más activa en el espacio DeFi este año. El ayuntamiento realizó una evaluación técnica para asegurarse de que no habría ningún impacto en otros usuarios antes de tomar medidas.

Dado que el pirata informático actuó primero con mala intención, esta acción es algo similar a una situación en la que "entre ladrones no hay honor". En cuanto a cómo gestionar el ETH congelado en el futuro, se someterá a votación en el proceso de gobernanza de la DAO de Arbitrum, en coordinación con las fuerzas del orden.

Sin duda, haber podido recuperar más de 70 millones de dólares en fondos robados es un resultado positivo. Sin embargo, cabe destacar la condición previa para lograrlo: entre los 12 miembros del Consejo de Seguridad, 9 firmas son suficientes para eludir cualquier votación de gobernanza y actualizar sin problemas cualquier contrato central en la cadena.

¿Aplaudir el resultado? ¿Preocupaciones sobre la autoridad?

Actualmente, la respuesta de la comunidad ante este incidente está bastante dividida.

Algunos consideran encomiables las acciones de Arbitrum, ya que protegieron activos en un momento crítico e incluso aumentaron la confianza en L2. Otros plantean una pregunta directa: si con 9 firmas se puede transferir cualquier activo a nombre de cualquier persona, ¿esto sigue considerándose descentralización?

Desde la perspectiva del autor, ambas partes no están hablando realmente de lo mismo.

El primero habla del resultado, mientras que el segundo discute sobre la autoridad. El resultado de este incidente es indudablemente positivo, ya que se han recuperado más de 70 millones de dólares en fondos robados. Sin embargo, la capacidad demostrada por Arbitrum en esta ocasión con la función de contrato multifirma es neutral en sí misma; cómo se utilizará en el futuro, qué puede hacer y cómo se puede hacer realmente depende de la gobernanza del comité.

Sin embargo, para la mayoría de los usuarios de Arbitrum, esta discusión puede no ser tan práctica sin otro dato. Arbitrum no es único en este aspecto, ya que la mayoría de las soluciones L2 convencionales actualmente conservan capacidades de actualización de emergencia similares.

Es muy probable que la cadena que está utilizando también tenga un Consejo de Seguridad similar con capacidades parecidas. Esta no es una decisión exclusiva de Arbitrum. En la etapa actual, la mayoría de las soluciones L2 tienen este diseño común.

Visto desde otra perspectiva, este ataque y defensa en realidad ha revelado una imagen más amplia.

El atacante fue el Grupo Lázaro de Corea del Norte, al que se le atribuyen al menos 18 ataques a redes de finanzas descentralizadas (DeFi) este año. Hace apenas tres semanas, robaron 285 millones de dólares a Drift Protocol utilizando un método completamente diferente.

Por un lado, los hackers a nivel estatal mejoran continuamente sus métodos de ataque, mientras que, por otro lado, la capa 2 está empezando a utilizar los permisos subyacentes para contraatacar. La batalla por la seguridad en DeFi está pasando de la fase de "congelación posterior al ataque, anuncios en la cadena de bloques y súplicas para la intervención de expertos en seguridad informática" a una nueva etapa.

En una maniobra extraordinaria, se creó una clave universal para desbloquear la dirección del hacker y, una vez completada la tarea, la clave fue destruida. Basándonos únicamente en este incidente, la capacidad de resistir ataques de hackers no es mala.

Y si debemos elevar el asunto a una discusión filosófica del tipo "esto no está descentralizado en absoluto", entonces hay mucho que discutir. En la industria de las criptomonedas existen numerosas operaciones centralizadas, pero al menos en esta ocasión, el enfoque se centró en gestionar el incidente negativo y resolver el problema, en lugar de provocarlo.

Volviendo a una perspectiva más pragmática, KelpDAO fue robado por 292 millones de dólares, pero solo se han recuperado poco más de 70 millones, lo que representa menos de una cuarta parte del total . El ETH restante sigue disperso en otras cadenas, la deuda incobrable de Aave, que supera los 100 millones de dólares, aún no se ha resuelto, y se desconoce la cantidad que recuperarán los poseedores de rsETH.

Aunque Arbitrum invocó su permiso de modo Dios, está claro que la batalla está lejos de haber terminado.

Enlace al artículo original