Arbitrum usa autoridade de emergência para recuperar fundos roubados da KelpDAO, gerando debate sobre governança de segurança em L2

博链BroadChain soube que, em 21 de abril, às 16:16, de acordo com o TechFlow, o KelpDAO sofreu um roubo de quase US$ 300 milhões em ativos na semana passada, tornando-se um dos maiores incidentes de segurança no campo DeFi deste ano. Entre eles, 30.765 ETH, no valor de mais de US$ 70 milhões, permaneceram em um endereço na rede Arbitrum. O monitoramento on-chain mostrou que os fundos desse endereço foram recentemente transferidos para um endereço totalmente zero, gerando especulações. O fórum oficial do Arbitrum revelou posteriormente que seu Conselho de Segurança ativou poderes de emergência. Através de uma atualização temporária do contrato principal da ponte cross-chain, o Inbox, o conselho adicionou uma nova função, permitindo falsificar uma mensagem cross-chain em nome do endereço do hacker, sem possuir a chave privada, instruindo a transferência dos fundos para um endereço congelado. Após a operação, o contrato foi imediatamente rebaixado, e todo o processo foi empacotado em uma transação Ethereum, sem afetar outros usuários. O Arbitrum afirmou que essa ação foi coordenada previamente com as autoridades policiais, confirmando que o atacante estava associado ao grupo norte-coreano Lazarus Group, e passou por avaliação técnica. Dos 12 membros do Conselho de Segurança, 9 precisam assinar para executar essa atualização de emergência, sem necessidade de votação de governança. A reação da comunidade foi dividida: alguns elogiaram a eficácia na recuperação rápida dos ativos, enquanto outros questionaram o desvio dos princípios de descentralização. Análises apontam que os principais L2 atuais geralmente possuem mecanismos semelhantes de conselho de segurança e poderes de emergência, o que não é exclusivo do Arbitrum. Este incidente também reflete uma nova tendência na segurança DeFi: grupos de hackers de nível nacional continuam evoluindo seus métodos de ataque, enquanto as redes Layer 2 começam a usar permissões de nível fundamental para intervenção direta. Apesar da recuperação de parte dos fundos, o valor total roubado do KelpDAO foi de US$ 292 milhões, com os ativos restantes dispersos em várias blockchains, e problemas como mais de US$ 100 milhões em dívidas não liquidadas na Aave ainda não foram resolvidos.