高调扣押被盗数字资产后，对去中心化金融漏洞发出警告

Arbitrum 安全委员会成员 Griff Green 对借贷协议如何处理流动质押代币表示担忧。 Green 是 2016 年以太坊 DAO 黑客事件的资深人士，他指出了去中心化金融中存在的运营安全漏洞。他是在追回与朝鲜黑客有关的 7200 万美元被盗加密资产后发表上述言论的。该事件涉及 Kelp DAO 漏洞，该漏洞影响了 Aave，并通过桥接攻击导致约 3 亿美元的代币被盗。仲裁安理会在追踪到朝鲜控制的钱包中的 7200 万美元后迅速采取了行动。该委员会由十二个多重签名小组中的九个组成，拥有紧急干预权。该委员会与 Seal 911 团队合作，将被盗资金冻结在一个新地址。攻击者仍然无法访问该地址，从而有效地阻止了任何进一步的移动。格林指出，这是该委员会第一次利用其权力直接冻结资金。此前，这些权力仅涵盖协议升级和错误修复。 该行动依靠的是社会共识，而不是代码的不变性。 Green 引用 2016 年以太坊 DAO 硬分叉作为此类干预的先例。关于区块链的本质，格林很直接：“区块链不是一成不变的，可以通过社会共识来改变。”他指出以太坊 DAO 硬分叉证明社区可以在需要时采取行动。然而，这一次，赌注涉及的是另一方的资金，而不是他自己的资金。这种区别让恢复工作变得不那么个人化，但同样紧迫。追回的 7000 万美元现在将由 Arbitrum DAO 治理。代币持有者将投票决定如何将这些资金重新分配给受影响的用户。这种做法体现了实践中的去中心化治理。它还为未来事件中如何处理被盗资金树立了先例。格林表示，智能合约错误不再是加密货币面临的最大威胁。相反，他指出了操作安全失败，例如私钥泄露。尤其是朝鲜演员，严重依赖社会工程策略。这些方法完全绕过代码级保护并针对人类漏洞。为了解决更广泛的安全漏洞，格林警告说，该行业必须符合成熟科技公司的标准。他观察到，像朝鲜这样的攻击者“经常依赖社会工程而不是智能合约漏洞”。这种策略的转变意味着仅靠技术审核已经不够了。团队还必须强化其内部流程和访问控制。 Green 还讨论了 Aave 等借贷协议如何处理流动性质押代币。他认为这些平台“对流动性质押代币过于宽松”，并且忽视了潜在的技术风险。这种监督造成了不良行为者可以通过桥接攻击利用的风险。围绕这些资产建立更严格的风险框架将显着减少这种脆弱性。展望未来，格林支持 DAO 安全基金等正在进行的努力。该计划旨在识别和支持以太坊上的关键安全项目。随着时间的推移，更强大的基础设施将有利于更广泛的生态系统。让加密货币安全并可供日常用户使用仍然是长期目标。