Учорашні ўзлом гульнявога NFT-праекта Munchables коштам 62 мільёны долараў выклікаў ажыятаж сярод крыптасупольнасці з заклікам да асноўнай каманды Blast уручную ліквідаваць пашкоджанні цэнтралізаванага збору.
На шчасце, такая спрэчная акцыя аказалася непатрэбнай. Аднойчы высветлілася, што яны няздатны каб сысці з рук, атрыманых незаконным шляхам, распрацоўшчык-ізгой, адказны за крадзеж, вярнуў сродкі камандзе Blast.
Падрабязней: Крыпта-гульня выкарыстала 4.6 мільёна долараў, хакер сцвярджае, што ён "белы капялюш".
Як і ў выпадку з узломам DAO на Ethereum у 2016 годзе, інцыдэнт прымушае нас разгледзець наступствы ўмяшання ў тое, што павінна быць нязменнымі кнігамі.
Хак
Хаця сам «узлом» быў простым, ён быў запланаваны добра загадзя.
Перад запускам распрацоўшчык-ізгой выкарыстаў іх адмін доступ, каб прызначыць сабе значны баланс эфіру ў папярэдняй, неправеранай рэалізацыі кантракту Munchables.
Пазней, калі дэпазіты пачалі паступаць у мадэрнізаваныя кантракты, на адрасе эксплуататара было шмат ETH, каб зняць сродкі, зняўшы прыкладна 17,400 62 ETH, што на той момант каштавала больш за XNUMX мільёны долараў.
Распрацоўшчык таксама меў адміністратарскі доступ да кантракту, у якім захоўвалася больш за 30 мільёнаў долараў сродкаў, унесеных іншым праектам, заснаваным на Blast, Сокавыціскалка. Рызыка цэнтралізацыі была вызначаны як нізкая сур'ёзнасць у праверцы праекта, і падрыхтоўка распрацоўшчыка, здавалася б, засталася незаўважанай.
Вінаваты
Першапачаткова сышчык блокчейна ZachXBT падазраваны што адказны распрацоўшчык быў часткай КНДР Lazarus Group спансаваных дзяржавай хакераў, паказваючы пальцам на профіль GitHub пад назвай «Werewolves0493».
ён таксама прапанаваны што чатыры з «распрацоўшчыкаў» праекта насамрэч могуць быць адной і той жа асобай, паколькі яны былі звязаны праз ланцужковыя перадачы і праз дэпазіты на агульныя адрасы абмену.
Генеральны дырэктар PixelCraft Studios, які карыстаецца coderdan.eth на X (раней Twitter), падзяліўся сваім абкатка з тым жа забудоўшчыкам, якога звольнілі «на працягу месяца». Мяркуючы па дэпазітах на іх адрасы Binance, ChainArgos Верыць у распрацоўшчыка было некалькі кароткатэрміновых працоўных месцаў за апошнія 18 месяцаў.
Незалежна ад таго, быў гэты чалавек звязаны з Лазарам ці не, спробы пранікненне ў крыпта-каманды - вядомы метад, які выкарыстоўваецца хакерскай групай.
Дылема
З тых часоў, як Міністэрства фінансаў ЗША ўвяло санкцыі супраць крыпта-міксера Tornado Cash, надзейнае супраціўленне цэнзуры стала важнай мерай дэцэнтралізацыі блокчейна. Надзея заключаецца ў тым, што калі няма адзінага суб'екта, які можна абвінаваціць ва ўзаемадзеянні з адрасамі, якія знаходзяцца пад санкцыямі, то няма каго і пераследаваць.
Сапраўды гэтак жа, калі каманда распрацоўшчыкаў, якая базуецца ў ЗША, мае дастатковыя паўнамоцтвы адміністратара, каб вярнуць наступствы ўзломаў або дзеянняў суб'ектаў, якія трапілі пад санкцыі, яна можа апынуцца абавязанай зрабіць гэта.
Прэцэдэнты ўжо былі. У мінулым годзе Jump Crypto правяла «контрэксплойт», каб вярнуць 120,000 2022 ETH, страчаных у выніку ўзлому Wormhole у 300 годзе, што на той момант каштавала больш за XNUMX мільёнаў долараў.
Таксама ў 2022 годзе BNB Chain, звязаны з Binance, быў спынены яго валідатарамі, што гарантавала, што даходы ад узлому моста ў 600 мільёнаў долараў не могуць быць пераведзены ў іншыя, менш цэнзурныя ланцужкі.
Blast сам па сабе не з'яўляецца яркім прыкладам «ненадзейнасці» крыпта, а таксама не ўзорам дэцэнтралізацыі.
Падрабязней: Крытыкі асуджаюць Blast як апошнюю схематычную схему на Ethereum
Калі Blast быў запушчаны, разам з праграмай ачкоў, якая выклікае FOMO, ён прапаноўваў «родную прыбытковасць» ETH і стейблкоинов, нягледзячы на тое, што дэпазіты проста ішлі ў мультысіг-кашалёк падчас стварэння самой сеткі.
Статус Blast як пераважна эксперыментальнай пясочніцы, якая не аддае прыярытэту дэцэнтралізацыі, як іншыя сеткі, прывяла некаторых да Верыць што выкарыстоўваючы цэнтралізаваныя паўнамоцтвы для вярнуць уручную непрыемныя дзеянні павінны быць Натхнёныя каб зрабіць карыстальнікаў цэлымі.
Але іншыя спрачацца што такі крок можа разглядацца як знак адабрэння іншых цэнтралізаваных збораў (напрыклад, Optimism і Base), якія могуць быць вымушаныя цэнзураваць сваю сеткавую дзейнасць.
DAO
Дэбаты вярнулі памяці узлому The DAO 2016 года, які, дарэчы, прывёў да страты аналагічнай сумы ў доларах (3.6 мільёна ETH, што сёння каштавала б амаль 13 мільярдаў долараў).
Больш падрабязна: Dencun ад Ethereum выклікае збой узроўня 2 «Blast».
«Хардфорк», прызначаны для ліквідацыі пашкоджанняў, прывёў да падзелу ланцужка, які прывёў да сучаснай асноўнай сеткі Ethereum і працягу ланцужка да развілкі, цяпер вядомага як Ethereum Classic.
Улічваючы частату, з якой з тых часоў карыстальнікі Ethereum церпяць страты ў памеры 60 мільёнаў долараў і больш, хардфорк для выпраўлення ўзлому здаецца амаль неймаверным.
Ёсць падказка? Адпраўце нам электронны ліст або ProtonMail. Каб атрымаць больш інфармаваныя навіны, сачыце за намі X, Instagram, Bluesky, і Google News, або падпісацца на нашу YouTube канал.
Крыніца: https://protos.com/blast-l2-hack-prompts-debate-over-centralization-of-ethereum-rollups/