Arbitrum Sử Dụng Quyền Hạn Khẩn Cấp Để Thu Hồi Tiền Bị Đánh Cắp Của KelpDAO, An Ninh Quản Trị L2 Gây Tranh Cãi

BroadChain được biết, vào 16:16 ngày 21 tháng 4, theo TechFlow, KelpDAO đã bị đánh cắp gần 300 triệu USD tài sản vào tuần trước, trở thành một trong những sự cố bảo mật lớn nhất trong lĩnh vực DeFi năm nay. Trong đó, 30.765 ETH trị giá hơn 70 triệu USD vẫn được lưu giữ tại một địa chỉ trên chuỗi Arbitrum. Giám sát trên chuỗi cho thấy, số tiền tại địa chỉ này gần đây đã được chuyển vào một địa chỉ toàn số 0, gây ra nhiều suy đoán. Diễn đàn chính thức của Arbitrum sau đó tiết lộ rằng hội đồng bảo mật của họ đã sử dụng quyền hạn khẩn cấp. Thông qua việc nâng cấp tạm thời hợp đồng cầu nối chéo chuỗi chính Inbox, hội đồng đã thêm một hàm mới, cho phép giả mạo một tin nhắn chéo chuỗi nhân danh địa chỉ của hacker mà không cần nắm giữ khóa riêng tư, chỉ thị chuyển tiền vào địa chỉ đóng băng. Sau khi hoạt động hoàn tất, hợp đồng ngay lập tức được hạ cấp, toàn bộ quá trình được đóng gói trong một giao dịch Ethereum duy nhất, không ảnh hưởng đến người dùng khác. Arbitrum cho biết, hành động này đã được phối hợp trước với cơ quan thực thi pháp luật, xác nhận kẻ tấn công có liên quan đến nhóm Lazarus của Triều Tiên, và đã trải qua đánh giá kỹ thuật. Trong số 12 thành viên của hội đồng bảo mật, chỉ cần 9 người ký là có thể thực hiện nâng cấp khẩn cấp như vậy mà không cần bỏ phiếu quản trị. Phản ứng của cộng đồng chia rẽ: một bên công nhận hiệu quả thu hồi tài sản nhanh chóng, bên kia lại nghi ngờ về sự vi phạm nguyên tắc phi tập trung. Phân tích chỉ ra rằng, hiện tại các L2 chính thống đều có cơ chế hội đồng bảo mật và quyền hạn khẩn cấp tương tự, đây không phải là đặc điểm riêng của Arbitrum. Sự kiện này cũng phản ánh xu hướng mới trong cuộc chiến bảo mật DeFi: các tổ chức hacker cấp quốc gia liên tục phát triển phương thức tấn công, trong khi các mạng Layer 2 bắt đầu sử dụng quyền hạn cơ bản để can thiệp trực tiếp. Mặc dù đã thu hồi được một phần tiền, nhưng tổng số tiền bị đánh cắp từ KelpDAO lên tới 292 triệu USD, tài sản còn lại phân tán trên nhiều chuỗi, các vấn đề như nợ xấu hơn 100 triệu USD trên Aave vẫn chưa được giải quyết.