Penggodam projek permainan NFT Munchables yang bernilai $62 juta semalam telah mencetuskan kekecohan di kalangan komuniti crypto, dengan seruan agar pasukan teras Blast membuat asal secara manual kerosakan pada rollup terpusat.
Nasib baik, tindakan kontroversi itu ternyata tidak perlu. Apabila ia menjadi jelas bahawa mereka adalah tidak dapat untuk melepaskan diri dengan keuntungan yang diperoleh secara haram, pemaju penyangak yang bertanggungjawab atas kecurian itu mengembalikan dana kepada pasukan Blast.
Baca lebih lanjut: Permainan Crypto dieksploitasi untuk $4.6M, penggodam mendakwa sebagai topi putih
Seperti juga dengan The DAO hack pada Ethereum pada tahun 2016, insiden itu memaksa kami untuk mempertimbangkan implikasi mengganggu apa yang sepatutnya menjadi lejar tidak berubah.
hack itu
Walaupun 'hack' itu sendiri adalah mudah, ia telah berlaku dirancang terlebih dahulu.
Sebelum pelancaran, pemaju penyangak menggunakan mereka admin akses untuk memberikan diri mereka keseimbangan eter yang besar dalam pelaksanaan kontrak Munchables yang belum disahkan sebelumnya.
Kemudian, apabila deposit mula disalurkan ke dalam kontrak yang dinaik taraf, alamat pengeksploitasi mempunyai banyak ETH untuk mengalirkan dana, mengeluarkan kira-kira 17,400 ETH, bernilai lebih $62 juta pada masa itu.
Pembangun juga mempunyai akses pentadbir kepada kontrak yang memegang lebih daripada $30 juta dana yang didepositkan oleh projek berasaskan Blast yang lain, Kotak jus. Risiko pemusatan adalah dikenalpasti sebagai tahap keterukan yang rendah dalam audit projek, dan persiapan pemaju nampaknya tidak disedari.
Penjenayah
Penjaga rantaian blok ZachXBT pada mulanya disyaki bahawa pembangun yang bertanggungjawab adalah sebahagian daripada Kumpulan Lazarus DPRK penggodam tajaan kerajaan, menuding jari pada profil GitHub bernama 'Werewolves0493.'
Hei, begitu mencadangkan bahawa empat daripada 'pemaju' projek itu mungkin sebenarnya adalah individu yang sama, kerana mereka dikaitkan dengan pemindahan dalam rantaian dan melalui deposit ke alamat pertukaran yang dikongsi.
Ketua Pegawai Eksekutif PixelCraft Studios, yang menggunakan coderdan.eth di X (dahulunya Twitter), berkongsi pengalamannya lari masuk dengan pemaju yang sama, yang telah dipecat "dalam masa sebulan." Berdasarkan deposit ke alamat Binance mereka, ChainArgos Percaya pemaju telah mempunyai segelintir pekerjaan jangka pendek sepanjang 18 bulan yang lalu.
Sama ada individu ini mempunyai kaitan dengan Lazarus atau tidak, cuba untuk menyusup ke pasukan crypto adalah teknik yang diketahui digunakan oleh kumpulan penggodaman.
Dilema
Sejak Perbendaharaan AS menyetujui pengadun kripto Tornado Cash, rintangan penapisan yang boleh dipercayai telah menjadi ukuran penting dalam desentralisasi blokchain. Harapannya ialah jika tiada entiti tunggal untuk menuduh berinteraksi dengan alamat yang dibenarkan, maka tiada sesiapa untuk mendakwa.
Begitu juga, walaupun, jika pasukan pembangunan yang berpangkalan di AS mempunyai kuasa pentadbir yang mencukupi untuk memulihkan kesan penggodaman atau tindakan entiti yang disekat, ia mungkin mendapati dirinya diwajibkan untuk berbuat demikian.
Preseden telah ditetapkan pada masa lalu. Tahun lepas, Jump Crypto menjalankan 'eksploitasi balas' untuk memulihkan 120,000 ETH yang hilang dalam penggodam Wormhole 2022, bernilai lebih $300 juta pada masa itu.
Juga pada tahun 2022, Rantaian BNB yang berkaitan dengan Binance telah dihentikan oleh pengesahnya, memastikan bahawa hasil daripada $600 juta penggodaman jambatan tidak dapat disalurkan ke rantaian lain yang kurang penapisan.
Blast itu sendiri bukanlah contoh utama etos 'ketidakpercayaan' kripto, dan ia juga bukan contoh desentralisasi.
Baca lebih lanjut: Pengkritik mengecam Blast sebagai skema lakaran terkini di Ethereum
Apabila Blast dilancarkan, di samping program mata yang mendorong FOMO, ia menawarkan 'hasil asli' pada ETH dan stablecoin, walaupun deposit hanya masuk ke dompet multisig semasa rangkaian itu sendiri sedang dibina.
Status Blast sebagai kotak pasir kebanyakannya eksperimen yang tidak mengutamakan desentralisasi seperti mana rangkaian lain menyebabkan beberapa Percaya yang menggunakan kuasa berpusat untuk kembalikan secara manual aktiviti yang tidak menyenangkan sepatutnya digalakkan untuk menjadikan pengguna keseluruhan.
Tetapi yang lain berhujah bahawa langkah sedemikian boleh dilihat sebagai tanda kelulusan untuk rollup berpusat lain (cth. Optimisme dan Pangkalan) yang mungkin terpaksa menapis aktiviti rangkaian mereka.
DAO
Perbahasan dibawa balik kenangan daripada 2016 The DAO hack yang, secara kebetulan, melibatkan jumlah dolar yang sama hilang (3.6M ETH, yang akan bernilai hampir $13B hari ini).
Baca lebih lanjut: Dencun Ethereum menyebabkan gangguan lapisan 2 'Blast'
'Fork keras', yang direka untuk membalikkan kerosakan, mengakibatkan perpecahan rantaian yang membawa kepada mainnet Ethereum hari ini dan penerusan rantaian pra-garpu, yang kini dikenali sebagai Ethereum Classic.
Memandangkan kekerapan pengguna Ethereum telah terdedah kepada kerugian $60 juta dan ke atas sejak itu, cara yang sukar untuk membetulkan penggodaman nampaknya hampir tidak dapat difikirkan.
Ada tip? Hantarkan e-mel atau ProtonMail kepada kami. Untuk berita lebih lanjut, ikuti kami di X, Instagram, Langit biru, dan berita Google, atau melanggan kami Youtube saluran.
Sumber: https://protos.com/blast-l2-hack-prompts-debate-over-centralization-of-ethereum-rollups/