Thành Viên Hội Đồng Bảo Mật Arbitrum Cảnh Báo Rủi Ro DeFi Sau Vụ Thu Hồi 72 Triệu USD Tiền Mã Hoá Của Triều Tiên

TLDR:

• Hội đồng Bảo mật của Arbitrum đã đóng băng 72 triệu USD tiền bị đánh cắp, truy dấu đến các ví Triều Tiên thông qua cuộc tấn công cầu nối cross-chain của Kelp DAO.
• Griff Green cảnh báo rằng khóa riêng tư bị rò rỉ và tấn công phi kỹ thuật (social engineering) hiện đang là mối đe dọa lớn hơn so với các lỗi hợp đồng thông minh.
• Aave và các giao thức cho vay tương tự bị chỉ ra là quá lỏng lẻo trong việc quản lý rủi ro đối với các liquid staking token.
• 70 triệu USD được thu hồi sẽ được phân phối lại cho những người dùng bị ảnh hưởng thông qua cuộc bỏ phiếu của các holder token Arbitrum DAO phi tập trung.

Thành viên Hội đồng Bảo mật Arbitrum Griff Green đã bày tỏ lo ngại về cách các giao thức cho vay xử lý các liquid staking token.

Green, một cựu chiến binh trong vụ hack Ethereum DAO năm 2016, đã chỉ ra các lỗ hổng bảo mật vận hành trong lĩnh vực tài chính phi tập trung (DeFi). Ông phát biểu sau khi thu hồi được 72 triệu USD tài sản tiền điện tử bị đánh cắp có liên quan đến tin tặc Triều Tiên.

Sự cố liên quan đến một vụ khai thác Kelp DAO ảnh hưởng đến Aave và dẫn đến khoảng 300 triệu USD token bị đánh cắp thông qua một cuộc tấn công cầu nối cross-chain.

Hội đồng Arbitrum ra tay đóng băng tài sản bị đánh cắp

Hội đồng Bảo mật Arbitrum đã hành động nhanh chóng sau khi truy dấu 72 triệu USD đến các ví do Triều Tiên kiểm soát. Hội đồng hoạt động như một nhóm đa chữ ký chín trong mười hai thành viên với quyền can thiệp khẩn cấp.

Phối hợp cùng nhóm Seal 911, hội đồng đã đóng băng các khoản tiền bị đánh cắp tại một địa chỉ mới. Địa chỉ đó vẫn không thể truy cập được đối với những kẻ tấn công, ngăn chặn hiệu quả mọi sự di chuyển tiếp theo.

Green lưu ý đây là lần đầu tiên hội đồng sử dụng quyền hạn của mình để đóng băng tài sản trực tiếp. Trước đây, những quyền hạn đó chỉ bao gồm nâng cấp giao thức và sửa lỗi.

Hành động này dựa trên sự đồng thuận xã hội thay vì tính bất biến của code. Green đã tham chiếu đến hard fork Ethereum DAO năm 2016 như một tiền lệ cho loại can thiệp này.

Về bản chất của các blockchain, Green nói thẳng: "Blockchain không phải là bất biến và có thể được thay đổi thông qua sự đồng thuận xã hội."

Ông chỉ ra hard fork Ethereum DAO như bằng chứng rằng cộng đồng có thể hành động khi cần thiết. Tuy nhiên lần này, vấn đề liên quan đến tài sản của bên khác chứ không phải của ông. Sự khác biệt đó khiến nỗ lực thu hồi ít mang tính cá nhân hơn nhưng không kém phần cấp bách.

70 triệu USD được thu hồi giờ đây sẽ thuộc quyền quản trị của Arbitrum DAO. Các holder token sẽ bỏ phiếu về cách phân phối lại những khoản tiền đó cho những người dùng bị ảnh hưởng.

Cách tiếp cận này phản ánh quản trị phi tập trung trong thực tế. Nó cũng tạo ra một tiền lệ cho cách xử lý các khoản tiền bị đánh cắp trong các sự cố tương lai.

Green chỉ trích tình trạng bảo mật vận hành yếu kém trong toàn ngành

Green tuyên bố rằng các lỗi hợp đồng thông minh không còn là mối đe dọa lớn nhất đối với tiền điện tử nữa. Thay vào đó, ông chỉ ra các lỗi bảo mật vận hành như rò rỉ khóa riêng tư.

Các tác nhân Triều Tiên, đặc biệt, phụ thuộc rất nhiều vào các chiến thuật tấn công phi kỹ thuật (social engineering). Những phương pháp này hoàn toàn vượt qua các biện pháp bảo vệ ở cấp độ code và nhắm vào các lỗ hổng của con người.

Đề cập đến khoảng cách bảo mật rộng lớn hơn, Green cảnh báo rằng ngành này phải đáp ứng các tiêu chuẩn của các công ty công nghệ trưởng thành.

Ông nhận xét rằng những kẻ tấn công như Triều Tiên "thường dựa vào tấn công phi kỹ thuật hơn là khai thác hợp đồng thông minh." Sự thay đổi chiến thuật đó có nghĩa là chỉ kiểm toán kỹ thuật không còn đủ nữa. Các nhóm cũng phải tăng cường các quy trình nội bộ và kiểm soát quyền truy cập của mình.

Green cũng đề cập đến cách các giao thức cho vay như Aave tiếp cận các liquid staking token. Ông tin rằng các nền tảng này "quá lỏng lẻo với các liquid staking token" và bỏ qua các rủi ro kỹ thuật tiềm ẩn.

Sự giám sát đó tạo ra rủi ro mà những kẻ xấu có thể khai thác thông qua các cuộc tấn công cầu nối cross-chain. Khung quản lý rủi ro chặt chẽ hơn xung quanh các tài sản này sẽ giảm đáng kể lỗ hổng đó.

Nhìn về phía trước, Green ủng hộ các nỗ lực đang diễn ra như Quỹ Bảo mật DAO. Sáng kiến này nhằm mục đích xác định và hỗ trợ các dự án bảo mật quan trọng trên toàn Ethereum.

Cơ sở hạ tầng mạnh mẽ hơn mang lại lợi ích cho hệ sinh thái rộng lớn hơn theo thời gian. Làm cho tiền điện tử an toàn và dễ tiếp cận với người dùng hàng ngày vẫn là mục tiêu dài hạn.

Bài đăng Thành viên Hội đồng Bảo mật Arbitrum cảnh báo rủi ro DeFi sau khi thu hồi 72 triệu USD tiền điện tử từ Triều Tiên đã xuất hiện đầu tiên trên Blockonomi.