Член ради безпеки Arbitrum вказує на ризики DeFi після повернення криптовалюти на $72M, пов'язаної з Північною Кореєю

TLDR:

• Рада безпеки Arbitrum заморозила $72 млн викрадених коштів, що були переведені до північнокорейських гаманців через атаку на кросчейн міст Kelp DAO.
• Griff Green попереджає, що витік приватних ключів і соціальна інженерія наразі становлять більшу загрозу, ніж баги смартконтрактів.
• Aave та подібні протоколи кредитування отримали зауваження щодо надто ліберального підходу до управління ризиками токенів ліквідного стейкінгу.
• Відновлені $70 млн будуть перерозподілені між постраждалими користувачами через голосування власників токенів децентралізованого Arbitrum DAO.

Член Ради безпеки Arbitrum Griff Green висловив занепокоєння щодо того, як протоколи кредитування управляють токенами ліквідного стейкінгу.

Green, ветеран зламу Ethereum DAO 2016 року, вказав на прогалини в операційній безпеці в сфері DeFi (Децентралізовані фінанси). Він виступив після повернення $72 млн викрадених криптоактивів, пов'язаних із північнокорейськими хакерами.

Інцидент стосувався експлойту Kelp DAO, який зачепив Aave і призвів до крадіжки приблизно $300 млн токенів через атаку на кросчейн міст.

Рада Arbitrum втрутилася, щоб заморозити викрадені кошти

Рада безпеки Arbitrum діяла оперативно після того, як відстежила $72 млн до гаманців, підконтрольних Північній Кореї. Рада функціонує як група мультипідпису «дев'ять із дванадцяти» з повноваженнями для екстреного втручання.

Спільно з командою Seal 911 рада заморозила викрадені кошти на новій адресі. Ця адреса залишається недоступною для зловмисників, що ефективно унеможливлює будь-який подальший рух коштів.

Green зазначив, що це був перший випадок, коли рада безпосередньо скористалася своїми повноваженнями для заморожування коштів. Раніше ці повноваження стосувалися лише оновлень протоколу та виправлення помилок.

Дія спиралася на соціальний консенсус, а не на незмінність коду. Green навів хардфорк Ethereum DAO 2016 року як прецедент для подібного втручання.

Щодо природи блокчейнів, Green висловився чітко: «Блокчейни не є незмінними і можуть бути змінені через соціальний консенсус».

Він вказав на хардфорк Ethereum DAO як доказ того, що спільнота може діяти у разі потреби. Цього разу, однак, на кону стояли кошти іншої сторони, а не його власні. Ця відмінність зробила зусилля з повернення менш особистими, але не менш нагальними.

Відновлені $70 млн тепер перейдуть під управління Arbitrum DAO. Власники токенів проголосують за те, як перерозподілити ці кошти між постраждалими користувачами.

Цей підхід відображає децентралізоване управління на практиці. Він також створює прецедент того, як викрадені кошти можуть оброблятися в майбутніх інцидентах.

Green вказує на слабку операційну безпеку в галузі

Green заявив, що баги смартконтрактів більше не є найбільшою загрозою для крипто. Натомість він вказав на збої в операційній безпеці, такі як витік приватних ключів.

Північнокорейські актори, зокрема, значною мірою покладаються на тактики соціальної інженерії. Ці методи повністю обходять захист на рівні коду і спрямовані на вразливості людського фактора.

Звертаючись до ширшої прогалини в безпеці, Green застеріг, що галузь повинна відповідати стандартам зрілих технологічних компаній.

Він зазначив, що зловмисники на кшталт Північної Кореї «часто покладаються на соціальну інженерію, а не на експлойти смартконтрактів». Такий зсув у тактиці означає, що технічних аудитів самих по собі вже недостатньо. Команди також повинні зміцнювати свої внутрішні процеси та контроль доступу.

Green також торкнувся того, як протоколи кредитування на кшталт Aave підходять до токенів ліквідного стейкінгу. Він вважає, що ці платформи «надто ліберальні щодо токенів ліквідного стейкінгу» і не враховують основні технічні ризики.

Така недбалість створює вразливість, якою зловмисники можуть скористатися через атаки на кросчейн мости. Жорсткіші рамки управління ризиками щодо цих активів значно зменшили б таку вразливість.

Дивлячись уперед, Green підтримує поточні ініціативи на кшталт DAO Security Fund. Ця ініціатива спрямована на виявлення та підтримку критично важливих проєктів безпеки в екосистемі Ethereum.

Міцніша інфраструктура з часом приносить користь всій ширшій екосистемі. Зробити крипто безпечним і доступним для повсякденних користувачів залишається довгостроковою метою.

Публікація «Член Ради безпеки Arbitrum вказує на ризики DeFi після повернення $72 млн північнокорейської крипти» вперше з'явилася на Blockonomi.