Прозвучало предупреждение об уязвимостях децентрализованных финансов после громкой конфискации украденных цифровых активов

Член Совета безопасности Arbitrum Грифф Грин выразил обеспокоенность по поводу того, как протоколы кредитования обрабатывают ликвидные токены ставок. Грин, ветеран взлома Ethereum DAO в 2016 году, отметил пробелы в операционной безопасности децентрализованных финансов. Он выступил после возвращения украденных криптоактивов на сумму 72 миллиона долларов, связанных с северокорейскими хакерами. Инцидент был связан с эксплойтом Kelp DAO, который затронул Aave и привел к краже токенов примерно на 300 миллионов долларов в результате атаки на мост. Совет безопасности Arbitrum отреагировал быстро, отследив 72 миллиона долларов на кошельках, контролируемых Северной Кореей. Совет действует как группа из девяти из двенадцати с несколькими подписями и полномочиями экстренного вмешательства. Работая вместе с командой Seal 911, совет заморозил украденные средства по новому адресу. Этот адрес остается недоступным для злоумышленников, что фактически останавливает любое дальнейшее движение. Грин отметил, что это первый раз, когда совет использовал свои полномочия для прямого замораживания средств. Раньше эти полномочия распространялись только на обновление протоколов и исправление ошибок. Это действие основывалось на социальном консенсусе, а не на неизменности кода. Грин назвал хардфорк Ethereum DAO в 2016 году прецедентом такого рода вмешательства. О природе блокчейнов Грин высказался прямо: «Блокчейны не являются неизменяемыми и могут быть изменены посредством социального консенсуса». Он указал на хард-форк Ethereum DAO как на доказательство того, что сообщество может действовать, когда это необходимо. Однако на этот раз ставки касались средств другой стороны, а не его собственных. Это различие сделало усилия по восстановлению менее личными, но не менее срочными. Возвращенные 70 миллионов долларов теперь перейдут под управление Arbitrum DAO. Владельцы токенов будут голосовать за то, как перераспределить эти средства среди пострадавших пользователей. Этот подход отражает децентрализованное управление на практике. Это также создает прецедент того, как можно обращаться с украденными средствами в будущих инцидентах. Грин заявил, что ошибки смарт-контрактов больше не являются самой большой угрозой для криптовалют. Вместо этого он указал на сбои в операционной безопасности, такие как утечка личных ключей. Северокорейские игроки, в частности, во многом полагаются на тактику социальной инженерии. Эти методы полностью обходят защиту на уровне кода и нацелены на уязвимости человека. Обращаясь к более широкому пробелу в безопасности, Грин предупредил, что отрасль должна соответствовать стандартам зрелых технологических компаний. Он заметил, что злоумышленники, такие как Северная Корея, «часто полагаются на социальную инженерию, а не на использование смарт-контрактов». Этот сдвиг в тактике означает, что одних лишь технических проверок уже недостаточно. Команды также должны ужесточить свои внутренние процессы и контроль доступа. Грин также рассказал о том, как протоколы кредитования, такие как Aave, подходят к токенам ликвидных ставок. Он считает, что эти платформы «слишком свободны в использовании ликвидных токенов для ставок» и упускают из виду основные технические риски. Этот надзор создает уязвимость, которой злоумышленники могут воспользоваться посредством атак на мосты. Более жесткие рамки рисков вокруг этих активов значительно снизят эту уязвимость. Заглядывая в будущее, Грин поддерживает текущие усилия, такие как Фонд безопасности DAO. Эта инициатива направлена ​​на выявление и поддержку критически важных проектов безопасности в Ethereum. Более сильная инфраструктура со временем принесет пользу более широкой экосистеме. Сделать криптовалюту безопасной и доступной для обычных пользователей остается долгосрочной целью.