Arbitrum gibt sich als Hacker aus und „stiehlt“ das von KelpDAO verlorene Geld zurück

Originaltitel: „Arbitrum gibt sich als Hacker aus und holt gestohlene Gelder für KelpDAO zurück“

Letzte Woche wurde KelpDAO gehackt, wodurch fast 300 Millionen Dollar verloren gingen – dies war der bislang größte Sicherheitsvorfall im DeFi-Bereich in diesem Jahr.

Die gestohlenen ETH sind mittlerweile auf mehrere Blockchains verteilt, wobei sich noch rund 30.765 ETH auf einer Adresse in der Arbitrum-Chain befinden, deren Wert auf über 70 Millionen Dollar geschätzt wird.

Gerade als alle dachten, die Geschichte sei zu Ende, kam es heute zu einer neuen Wendung.

Laut dem On-Chain-Sicherheitsunternehmen PeckShield wurden die Gelder auf der Adresse des Hackers in der Arbitrum-Chain vor einigen Stunden abgehoben; seltsamerweise wurden diese Gelder jedoch an eine Adresse gesendet, die fast ausschließlich aus Nullen zu bestehen scheint, etwa 0x00000...

Damals spekulierten alle: Hat der Hacker das Geld an eine Black-Hole-Adresse gesendet? Oder haben sie ihre Meinung geändert oder sich bestechen lassen?

Weder noch.

Vor einigen Stunden wurde im offiziellen Arbitrum-Forum eine Mitteilung zu den Sofortmaßnahmen veröffentlicht, in der die Situation erläutert wird. Die Gelder des Hackers wurden vom Sicherheitsrat von Arbitrum überwiesen.

Interessanterweise hat der Arbitrum Council, ohne den privaten Schlüssel der Hacker-Adresse zu kennen, weder die Gelder des Hackers eingefroren noch hatte er die Befugnis, diese zu überweisen; stattdessen erteilte er direkt „im Namen des Hackers“ einen Überweisungsauftrag.

Der Hacker selbst wusste nichts davon, der private Schlüssel wurde nicht kompromittiert, und die On-Chain-Einträge lassen den Anschein erwecken, als hätte der Hacker die Transaktion durchgeführt.

Das Prinzip hinter diesem Vorgang besteht darin, dass alle kettenübergreifenden Nachrichten zwischen Arbitrum und Ethereum über einen Brückenvertrag namens „Inbox“ laufen. Der Sicherheitsrat machte von seinen Notfallbefugnissen Gebrauch, um diesen Vertrag vorübergehend zu erweitern und eine neue Funktion hinzuzufügen:

Um eine kettenübergreifende Transaktion im Namen einer beliebigen Wallet-Adresse zu senden, ohne den privaten Schlüssel dieser Wallet zu benötigen.

Anschließend nutzten sie diese Funktion, um eine Nachricht zu fälschen, wobei die Absenderadresse die Wallet des Hackers war und der Inhalt lautete: „Überweise mein gesamtes ETH-Guthaben an die gesperrte Adresse.“ Als die Arbitrum-Chain die Transaktion empfing, kam es zu der seltsamen Szene, die auf dem Screenshot der On-Chain-Übertragung festgehalten wurde.

Nachdem das Geld des Hackers überwiesen worden war, löschte sich der Vertrag sofort selbst und kehrte in seinen ursprünglichen Zustand zurück. Das Upgrade, die Fälschung, die Übertragung und die Wiederherstellung wurden alle in einer einzigen Ethereum-Transaktion zusammengefasst. Andere Benutzer und Anwendungen waren davon überhaupt nicht betroffen.

Diese Maßnahme ist in der Geschichte von Arbitrum beispiellos.

Laut einer Ankündigung im Forum hatte der Sicherheitsrat die Identität des Hackers im Vorfeld mit den Strafverfolgungsbehörden abgeklärt und dabei auf die nordkoreanische Lazarus-Gruppe hingewiesen, die in diesem Jahr die aktivste staatlich geförderte Hackerorganisation im DeFi-Bereich war. Der Rat führte eine technische Prüfung durch, um sicherzustellen, dass andere Nutzer nicht beeinträchtigt werden, bevor er Maßnahmen ergriff.

Da der Hacker als Erster böswillig gehandelt hat, gleicht dieser Schritt in gewisser Weise einer Situation, in der „unter Dieben keine Ehre herrscht“. Was die künftige Verwendung der eingefrorenen ETH betrifft, so wird darüber im Rahmen des DAO-Governance-Prozesses von Arbitrum in Abstimmung mit den Strafverfolgungsbehörden abgestimmt.

Dass gestohlene Gelder in Höhe von über 70 Millionen Dollar wiederbeschafft werden konnten, ist zweifellos ein positives Ergebnis. Es ist jedoch wichtig, die Voraussetzung dafür zu beachten: Von den 12 Mitgliedern des Sicherheitsrats reichen 9 Unterschriften aus, um jede Abstimmung im Governance-Gremium zu umgehen und jeden Kernvertrag auf der Blockchain reibungslos zu aktualisieren.

Beifall für das Ergebnis – Bedenken hinsichtlich der Autorität?

Derzeit ist die Meinung der Öffentlichkeit zu diesem Vorfall ziemlich gespalten.

Manche halten Arbitrums Vorgehen für lobenswert, da es in einem kritischen Moment Vermögenswerte schützt und sogar das Vertrauen in L2 stärkt. Andere stellen eine direkte Frage: Wenn mit 9 Signaturen Vermögenswerte im Namen einer beliebigen Person bewegt werden können, kann man das dann noch als Dezentralisierung bezeichnen?

Aus Sicht des Autors sprechen beide Seiten eigentlich nicht über dasselbe.

Im ersten Fall geht es um das Ergebnis, im zweiten um die Zuständigkeit. Das Ergebnis dieses Vorfalls ist zweifellos positiv, da gestohlene Gelder in Höhe von über 70 Millionen Dollar wiederbeschafft werden konnten. Die von Arbitrum diesmal mit der Multi-Signatur-Vertragsfunktion unter Beweis gestellte Fähigkeit ist jedoch an sich neutral; wie sie in Zukunft genutzt wird, was sie leisten kann und wie dies konkret umgesetzt wird, hängt von der Governance des Komitees ab.

Für die meisten Nutzer von Arbitrum ist diese Diskussion jedoch ohne eine weitere Tatsache möglicherweise nicht ganz so relevant. Arbitrum ist in dieser Hinsicht kein Einzelfall, da die meisten gängigen L2-Lösungen derzeit über ähnliche Funktionen für Notfall-Upgrades verfügen.

Die Kette, die Sie verwenden, verfügt höchstwahrscheinlich ebenfalls über einen ähnlichen Sicherheitsrat mit ähnlichen Befugnissen. Das ist keine einmalige Entscheidung für Arbitrum. Derzeit weisen die meisten L2-Lösungen dieses gemeinsame Design auf.

Aus einer anderen Perspektive betrachtet, hat dieses Wechselspiel zwischen Angriff und Verteidigung tatsächlich ein umfassenderes Bild offenbart.

Der Angreifer war die nordkoreanische Lazarus-Gruppe, der in diesem Jahr mindestens 18 DeFi-Angriffe zugeschrieben wurden. Erst vor drei Wochen haben sie mit einer völlig anderen Methode 285 Millionen Dollar von Drift Protocol gestohlen.

Einerseits verbessern Hacker auf staatlicher Ebene ständig ihre Angriffsmethoden, während andererseits L2 beginnt, mit Hilfe der zugrunde liegenden Berechtigungen zurückzuschlagen. Der Kampf um die Sicherheit im DeFi-Bereich entwickelt sich von „Einfrieren nach einem Angriff, Ankündigungen in der Blockchain und dem Hoffen auf das Eingreifen von White-Hat-Hackern“ hin zu einer neuen Phase.

In einem äußerst ungewöhnlichen Schritt wurde ein universeller Schlüssel erstellt, um die Adresse des Hackers zu entsperren, und nachdem die Aufgabe erledigt war, wurde der Schlüssel vernichtet. Wenn man nur diesen Vorfall betrachtet, ist die Widerstandsfähigkeit gegenüber Hackerangriffen nicht schlecht.

Und wenn wir die Angelegenheit zu einer philosophischen Diskussion darüber aufbauschen müssen, dass „das überhaupt nicht dezentralisiert ist“, dann gibt es viel zu besprechen. In der Kryptobranche gibt es zahlreiche zentralisierte Abläufe, doch zumindest dieses Mal lag der Schwerpunkt darauf, das negative Ereignis zu bewältigen und das Problem zu lösen, anstatt ein solches Ereignis zu verursachen.

Um wieder auf eine pragmatischere Sichtweise zurückzukommen: KelpDAO wurden 292 Millionen Dollar gestohlen, doch bisher konnten nur etwas mehr als 70 Millionen Dollar wiederbeschafft werden, was weniger als einem Viertel der Gesamtsumme entspricht. Die verbleibenden ETH sind nach wie vor auf andere Blockchains verteilt, über 100 Millionen Dollar an uneinbringlichen Forderungen bei Aave sind noch immer ungelöst, und es ist noch nicht bekannt, welchen Betrag die rsETH-Inhaber zurückerhalten werden.

Auch wenn Arbitrum seine „God-Mode“-Berechtigung geltend gemacht hat, ist klar, dass der Kampf noch lange nicht vorbei ist.

Link zum Originalartikel