Wczorajszy hack o wartości 62 milionów dolarów na projekt Munchables związany z grami NFT wywołał poruszenie wśród społeczności kryptograficznej, wzywając główny zespół Blast do ręcznego cofnięcia szkód w scentralizowanym pakiecie zbiorczym.
Na szczęście tak kontrowersyjne działanie okazało się niepotrzebne. Kiedyś stało się jasne, że tak niezdolny Aby uniknąć nieuczciwych zysków, nieuczciwy programista odpowiedzialny za kradzież zwrócił środki zespołowi Blast.
Przeczytaj więcej: Gra kryptograficzna wykorzystana za 4.6 miliona dolarów, haker podaje się za białego kapelusznika
Podobnie jak w przypadku hackowania DAO na Ethereum w 2016 r., incydent ten zmusza nas do rozważenia konsekwencji ingerencji w rzekomo niezmienne księgi rachunkowe.
Hack
Chociaż samo „hakowanie” było proste, rzeczywiście takie było planowany z dużym wyprzedzeniem.
Przed uruchomieniem nieuczciwy programista użył ich Admin dostęp do przydzielenia sobie sporego salda w eterze w ramach poprzedniej, niezweryfikowanej realizacji kontraktu Munchables.
Później, gdy depozyty zaczęły napływać do ulepszonych kontraktów, pod adresem eksploatatora znajdowało się mnóstwo ETH do wyczerpania środków, wypłacając około 17,400 62 ETH, wartych wówczas ponad XNUMX miliony dolarów.
Deweloper miał także dostęp administracyjny do kontraktu, w którym zgromadzono ponad 30 milionów dolarów środków zdeponowanych przez inny projekt oparty na Blast, Karton soku. Ryzyko centralizacji było zidentyfikowane jak niska dotkliwość w audycie projektu, a przygotowania dewelopera pozornie przeszły niezauważone.
Sprawca
Początkowo detektyw Blockchain ZachXBT podejrzany że odpowiedzialny programista należał do sponsorowanej przez państwo grupy hakerów Lazarus z KRLD i wskazywał profil GitHub o nazwie „Werewolves0493”.
On także zasugerował że czterech „deweloperów” projektu może w rzeczywistości być tą samą osobą, ponieważ byli połączeni transferami w ramach łańcucha i depozytami na wspólne adresy wymiany.
Dyrektor generalny PixelCraft Studios, który korzysta z coderdan.eth na X (dawniej Twitterze), podzielił się swoim docieranie z tym samym deweloperem, który został zwolniony „w ciągu miesiąca”. Sądząc po wpłatach na ich adresy Binance, ChainArgos uwierzyć W ciągu ostatnich 18 miesięcy deweloper miał kilka krótkoterminowych zleceń.
Niezależnie od tego, czy ta osoba była połączona z Łazarzem, czy nie, próbując infiltrowanie zespołów kryptograficznych to znana technika stosowana przez grupę hakerską.
Dylemat
Od czasu nałożenia przez amerykański Departament Skarbu sankcji na mikser kryptowalut Tornado Cash wiarygodny opór przed cenzurą stał się ważnym miernikiem decentralizacji blockchain. Mamy nadzieję, że jeśli nie będzie jednego podmiotu, który mógłby oskarżyć o interakcję z adresami objętymi sankcjami, to nie będzie kogo ścigać.
Podobnie jednak, jeśli zespół programistów z siedzibą w USA ma wystarczające uprawnienia administracyjne, aby cofnąć skutki włamań lub działań podmiotów objętych sankcjami, może być do tego zobowiązany.
W przeszłości ustanawiano precedensy. W zeszłym roku firma Jump Crypto przeprowadziła „kontr-exploit”, aby odzyskać 120,000 2022 ETH utracone w wyniku hackowania Wormhole w 300 r., warte wówczas ponad XNUMX milionów dolarów.
Również w 2022 r. łańcuch BNB powiązany z Binance został zatrzymany przez swoich walidatorów, zapewniając, że wpływy z hackowania mostów o wartości 600 milionów dolarów nie będą mogły zostać przeniesione do innych, mniej cenzuralnych sieci.
Sam wybuch nie jest najlepszym przykładem etosu „braku zaufania” kryptowalut ani nie jest wzorem decentralizacji.
Przeczytaj więcej: Krytycy potępiają Blast jako najnowszy schemat na Ethereum
Kiedy Blast został uruchomiony, wraz z programem punktowym wywołującym FOMO, oferował „natywny zysk” z ETH i monet stabilnych, mimo że depozyty po prostu trafiały do portfela multisig podczas budowy samej sieci.
Status Blast jako głównie eksperymentalnej piaskownicy, w której decentralizacja nie jest tak priorytetowo traktowana jak inne sieci, doprowadził niektórych do uwierzyć że wykorzystanie scentralizowanych uprawnień do ręcznie przywrócić powinny być niesmaczne zajęcia zachęcać aby użytkownicy byli całością.
Ale inni argumentować że takie posunięcie można odebrać jako wyraz aprobaty dla innych scentralizowanych pakietów zbiorczych (np. Optimism i Base), które mogłyby zostać zmuszone do cenzurowania swojej aktywności sieciowej.
DAO
Dyskusja przywrócona wspomnienia hacka The DAO z 2016 roku, który, nawiasem mówiąc, pociągnął za sobą stratę podobnej kwoty w dolarach (3.6 mln ETH, co byłoby dziś warte prawie 13 miliardów dolarów).
Przeczytaj więcej: Dencun w Ethereum powoduje awarię warstwy 2 „Blast”.
„Hard fork”, zaprojektowany w celu odwrócenia szkód, doprowadził do podziału łańcucha, co doprowadziło do dzisiejszej sieci głównej Ethereum i kontynuacji łańcucha poprzedzającego fork, znanego obecnie jako Ethereum Classic.
Biorąc pod uwagę częstotliwość, z jaką od tego czasu użytkownicy Ethereum byli narażeni na straty w wysokości 60 milionów dolarów i więcej, hard fork mający na celu zaradzenie włamaniom wydaje się prawie nie do pomyślenia.
Masz wskazówkę? Wyślij do nas e-mail lub ProtonMail. Aby uzyskać więcej informacji, śledź nas dalej X, Instagram, Bluesky, wiadomości Googlelub zasubskrybuj nasz YouTube kanał.
Źródło: https://protos.com/blast-l2-hack-prompts-debate-over-centralization-of-ethereum-rollups/