Arbitrum utilise ses pouvoirs d'urgence pour récupérer les fonds volés de KelpDAO, suscitant des débats sur la gouvernance sécuritaire des L2

BroadChain a appris que le 21 avril à 16h16, selon TechFlow, KelpDAO a subi un vol d'actifs de près de 300 millions de dollars la semaine dernière, devenant l'un des plus grands incidents de sécurité dans le domaine DeFi cette année. Parmi ceux-ci, 30 765 ETH d'une valeur de plus de 70 millions de dollars sont restés sur une adresse de la chaîne Arbitrum. La surveillance sur la chaîne a montré que les fonds de cette adresse ont récemment été transférés vers une adresse entièrement nulle, suscitant des spéculations. Le forum officiel d'Arbitrum a ensuite révélé que son Conseil de sécurité avait activé des pouvoirs d'urgence. En mettant à niveau temporairement le contrat principal de pont inter-chaînes Inbox, le Conseil a ajouté une nouvelle fonction, permettant de forger un message inter-chaînes au nom de l'adresse du pirate sans posséder la clé privée, ordonnant le transfert des fonds vers une adresse gelée. Après l'opération, le contrat a été immédiatement rétrogradé, l'ensemble du processus étant regroupé dans une seule transaction Ethereum, sans affecter les autres utilisateurs. Arbitrum a déclaré que cette action avait été coordonnée à l'avance avec les autorités répressives, confirmant que l'attaquant était lié au groupe nord-coréen Lazarus, et avait fait l'objet d'une évaluation technique. Parmi les 12 membres du Conseil de sécurité, 9 signatures sont nécessaires pour exécuter ce type de mise à niveau d'urgence, sans vote de gouvernance. Les réactions de la communauté sont partagées : certains saluent l'efficacité de la récupération rapide des actifs, tandis que d'autres remettent en question cet écart par rapport aux principes de décentralisation. Les analyses indiquent que les principaux L2 actuels disposent généralement de mécanismes similaires de Conseil de sécurité et de pouvoirs d'urgence, ce qui n'est pas propre à Arbitrum. Cet incident reflète également la nouvelle dynamique de la lutte pour la sécurité DeFi : les méthodes d'attaque des groupes de pirates nationaux évoluent constamment, tandis que les réseaux Layer 2 commencent à utiliser leurs autorités de base pour intervenir directement. Bien qu'une partie des fonds ait été récupérée, le montant total volé à KelpDAO s'élève à 292 millions de dollars, les actifs restants étant dispersés sur plusieurs chaînes, et des problèmes tels que plus de 100 millions de dollars de créances douteuses sur Aave restent non résolus.