보안위원회의 Arbitrum 회원 : 왜 우리는 하나님의 권위를 사용하여 $ 72 백만을 동결합니까
Compile 깊은 tide 기술
고객: Griff Green, Arbitrum 보안위원회 회원
모델: Zack Guzma
원래 링크:
https://www.techflowpost.com/zh-CN/article/31292
연락처
지난 몇 일 동안 Ether과 전체 암호화 링은 Kelp DAO (액티비티 재 담보 계약) 해킹 및 Aave에 영향을 미쳤습니다。
Arbitrum 보안위원회는 비상 전원을 동결하고 약 $ 72 백만의 자산을 복구하는 데 사용 된 한국 해커의 통제 아래 주장. 이것은 "L2"가 특정 주소에서 자금을 동결하기 위해 "God's Permission"를 열었던 현재 암호화 산업의 첫 번째 시간입니다. 팟 캐스트가 수집되기 전에 Arbitrum의 능력에 대한 지역 사회에서 지속적인 논쟁이있었습니다. "주소 자산을 이동"은 올바른 일을하지 않고, 능력과 중앙화 경계에 대한 의심을 제기。
팟 캐스트의 손님은 Arbitrum이 결정, Griff Green을 만들 수있는 보안위원회의 구성원 중 하나입니다. 같은 시간에, 그리프, 2016의 상대 DAO 해커와 Taichang의 하드 드라이브의 촉진자 중 하나, 직접 자신의 인터뷰에서 서 (USDC 발행자)의 "콘텐츠 활성화"를 비난하고 서의 결정 논리가 완전히 금융 진술에 의해 구동되었다。
저렴한 노트
체인으로 탬퍼하지 않는 실수입니다
"블록 체인이 변경 될 수 없다는 것을 느꼈지만, 사회 합의에 근거하여 연습합니다. 업그레이드 계약에 모두 동의하면 규칙이 변경 될 수 있습니다. 그래서 그것은 Taifah와 Bitcoin이었다."
"Bitcoin 커뮤니티의 사람들이 스마트 동전을 얼고 이야기하는 이유입니다. 이것은 기술적으로 feasible, 블록 체인이 절대적으로 immutable되지 않기 때문에, 그것은 단지 규칙입니다. "
중앙화의 실제 건물 블록은 시장 행동입니다
"사람이 우리의 결정을 좋아하지 않는 경우, 그들은 그들을 판매 할 것입니다. Bitcoin 네트워크가 사람들의 돈을 훔치는 경우, 홀더는 분명히 판매 할 것입니다. 실제 기반을 분산시키는 시장 행동은 시장의 역동적 인 역할이 예상보다 심각하다. "
"솔직히, 아무도 아무것도하지 않고 우리를 비난합니다. 아무것도하지 않는 위험이 없습니다, 그래서 당신은 약간의 위험이 필요합니다."
한국어 해커 공격 패턴
"북한은 거의 스마트 컨트랙트 레벨 공격을 만듭니다. 대부분의 시간은 코드가 아닙니다, 그것은 사람들입니다. 사회 공학을 통해, 그들은 특별한 특권을 가진 열쇠 홀더를 찾아내고 컴퓨터와 열쇠에 접근이 있습니다
"나는 왜 그들은 2 일 동안 하나의 주소로 돈을 떠났는지 모른다. 어쩌면 그들은 연속 3 일 근무, 일요일 휴식했다 월요일에 늦었다. 우리의 창입니다
서클 versus 테더
"나는 매우 명확하게 한 것을 말한다 : Circle에서 분명히 좋은 사람들이 없습니다. 그들은 아무것도 할 수 있기 때문에. Rather, Tether, DPRK의 자금은 지속적으로 얼어지고 $ 7 백만 이상이 복구되었습니다."
"Circle's Origin은 암호화 네이티브가 아니며 Goldman Sachs입니다. 그래서 그들의 결정의 논리는 문제가 문에 반영된다는 것입니다. DPRK에서 자금의 냉동이 돈을 벌 경우, 그들은 그것을 할 것입니다. "
보안은 암호화 산업에 가장 큰 장애물입니다
"오늘의 기술로, 우리는 PayPal보다 안전한 무언가를 만들고 은행보다 더 안전하게 만들 수 있습니다. 은행과 PayPal 인프라를 가져오고, 신탁을 제거하고, 비호스트 버전을 만들고, 기술이 이곳에 있습니다."
"나는 은행 계좌 돈이 낚시 후 도난당한 사람을 모른다. 그러나 나는 물고기가 된 후 암호를 잃은 많은 사람들을 알고있다. "
"나는 공공의 좋은 건물, 정부보다 더 나은 무언가를 구축하려고,하지만 동시에 동일한 문제에 의해 차단 : 이 기술은 평범한 사람들이 안전하게 사용할 수 없습니다. "
하나님의 힘을 열어라
Zack Guzman : 많은 사람들이 다음과 같은 개발입니다. 논쟁은 멈추지 않았습니다. Arbitrum 보안위원회 구조로 시작합시다. 당신은 보안위원회의 회원이며, 이것은 당신의 게시물에 매우 심각한 결정입니다. 당신은 어떻게이 전체 일 일어났는지 말해 줄 수 있습니까
그리프 그린 : Kelp DAO는 공격하고 주요 책임은 Kelp DAO와 LayerZero 사이에 분쟁되었지만 영향은 Aave에 도달했습니다. 그것은 크로스 체인 공격이었다, 이는 해커에 의해 다리에서 도난되었다 약 $300 레이어 2에 백만, 그리고 Taifung과 Arbitrum 네트워크에 측면으로 ETH에 입금。
북한의 해커가 ETH를 얻은 후, 그들은 일 동안 지갑에 보관, 우리에게 구조를 조정하는 시간의 창을 제공합니다. Arbitrum, 여전히 개발 단계 1 롤업 (특정 보안 보증하지만 아직 완전히 탈중앙화되지 않음), 보안위원회가 있습니다. 9-of-12 다중 서명 (나인 서명은 12 회원이 작동을 수행하는 데 필요합니다). 우리는 DPRK 제어 된 주소에서 자금을 전송하고 액세스 할 수없는 새로운 주소로 동결하기 위해 긴급 특권을 사용하여 Seal 911 (Security Emergency Response Organization for Encryption)의 팀과 협력했습니다。
블록 체인의 기초
Zack Guzman : 나는 9-of-12 임계값을 필요로하지 않았으며 많은 사람들이 Arbitrum이 그 능력을 가지고 있다는 것을 알 수 없습니다. 당신은 아마도이 기능에 대해 알고 한국의 해커를 원하지 않습니다。
Griff Green : 실제로, 그것은 완전히 공개 정보입니다. 블록 체인 기술에 대한 몇 가지 이해가 있다고 생각합니다. 블록 체인의 뿌리는 오픈 소스 코드, 서버와 소셜 합의에서 실행 노드입니다。
나의 첫번째 프로젝트는 DAO입니다. 우리는 $ 150 백만을 올리고 해킹되었습니다. Laura Shin의 "The Cryptopians"에 대해 더 알고 싶다면 100 페이지가 있습니다. 결국, 우리는 Arbitrum에서했던 것과 매우 유사했습니다: 해킹 권한없이 해커의 지갑에서 규칙과 송금을 차단。
그것은 Ether에서 수행 할 수 있습니다, 비트 코인, 어떤 체인에. 블록 체인이 본질적으로 소셜 합의를 기반으로하기 때문에 모든 동의가 달성 될 수있는 스마트 동전을 얼어 붙일 수있는 Bitcoin 커뮤니티의 사람들이 있습니다。
Arbitrum의 약간 차이는 네트워크 노드 연산자를 납득 할 필요가 없다는 것입니다. 그러나 ARB 토큰 보유자는 동일한 작업을 수행 할 수 있습니다. 또는 보안위원회 9-of-12는 비상 사태에 서명 할 수 있습니다. 그 이전에 Security Council의 역량은 버그 및 업그레이드 계약을 복구하는 데에만 사용되었으며 자금은 냉동되지 않았습니다. 이것은 내가 알고있는 것처럼 처음이다, 큰 L2-freezing 체인이 있습니다。
사건의 비교
Zack Guzman: 당신이 DAO 해킹을 통해 갔다 때 어떻게 느낄
이것은 훨씬 쉽습니다. DAO는 내 자신의 프로젝트, $ 150 백만에 해킹, 훨씬 더 스트레스. 이 시간, 나는 개인적으로 돈을 잃지 않았다 그러나 보안위원회의 회원으로 intervened。
그리고 이제 인프라는 더 빨리 파악할 수 있습니다. DAO는 해커가 누구인지 생각하지 않았다. 이번 씰 911은 FBI에 연락할 수 있었고, 기본적으로 공격자는 한국 해커였습니다. 우리는 우리가 년 이상 설립 한 뒤쪽 상승 네트워크를 통해 여분의 생태 정보를 얻었다。
주요 문제의 토론
Zack Guzman: 결정적인 토론에서, inaction의 한 측면은 DPRK이 기금을 유지하도록 허용하는 것입니다. 그러나 차례로, 이것들이 DeFi에 식히는 효과가 있음을 두려워합니다. 토론의 과정은 무엇입니까
Griff Green : 최초의 기술 도전. 그것은 완벽한 기술 솔루션을 찾을 수있는 많은 시간을 가지고 있으며, 그것은 그 뒤에 technocrat 덕분에 스스로를 찾을 수있었습니다。
기술이 가능한 것으로 결정되면 실제 토론이있었습니다. 예, 하지만 그렇지 않습니까
자신의 관점에서, 공격자는 거의 특정 북한, 포함 $72 백만, 그리고 DeFi는 뒤에 왼쪽의 위험에 있었다. 그것은 Arbitrum 헌법을 방어하고 내가 Arbitrum에 대한 권리가 무엇인지. 아무 것도, 위험없이 거의 아무것도 할 필요가 없습니다. 그래서 그것은 정말 작은 모험을 걸립니다。
어떤 사람들은 아픈 생각, "9 사람들은 체인에 이것을 할 수 있습니다." 그러나 나는 당신에게 말하고 있습니다. 9 가지 안전 전문가가 극단적 인 위험 전환에 대해 무언가를하는 것에 동의합니다. 스마트 코인을 동결하는 광산 연못보다 더 어려울 수 있습니다。
키 메시지는 시스템이 분산되어 있다는 것입니다. 이것은 구조상 수준에서 뿐만 아니라, 또한 시장 sentiment 및 가격 행동에서 반영됩니다. 사람들이 우리의 결정을하지 않는 경우, 그들은 그들을 판매 할 것입니다. 이 문제의 시장 역학의 역할은 예상대로 심각했습니다。
Zack Guzman : 보안위원회는 ARB 토큰 보유자에 의해 선출되었습니다. 이 이벤트는 ETA에서 해커를 향한 태도를 변화시키기위한 선구자입니까
Griff 녹색: 한 가지가 예상됩니다 : 해커는 거의 2 일 동안 하나의 주소로 돈을두고 있습니다. 우리가 행동 창을 가지고 있기 때문에. 나는 Arbitrum에 전에 해킹이 없었다 생각하지 않았다. 돈을 송금하지 않았는지 모르겠습니다. 아마 그들은 3 일 동안 피곤, 일요일 휴식, 늦은 월요일。
그래서 나는 사람들이 더 열려있을 것이라고 생각한다. 그것은 기술적으로 가능하기 때문에 (그것은 항상 가능)하지만 사람들이 실제 작업을 보았다. L2Beat (Taifeng Foundation에 의해 후원되는 L2 Security Assessment Project)는 보안위원회가 비상업적 인 힘을 가지고 있음을 분명히 말합니다. 해커는 돈을 송금 할 준비가되어 있으며 우리는 운이 좋다。
보안 수업
Zack Guzman : 보안 레슨
Griff Green: 첫째로, 기술 위험 분석은 더 낫습니다. Aave는 낮은 시장 가치, 높은 변동성 토큰에 대한 액세스를 제어하는 데 잘했지만 액체 토큰 (LST)의 권고를 느슨하게 배치했습니다. 이 토큰 밑바닥 자산은 ETH이며 경제적 위험은 실제로 낮습니다. 그러나 기술적 위험 차원은 더 큰 scrutiny를 요구합니다. 이것은 단지 Aave, Morpho, Compund, Sky 등의 질문, 그리고 모든 대출 계약은 기술 위험 분석에 투자의 두 배가 필요합니다。
Kelp DAO는 단 하나 점 실패 (하나의 1, 즉, 틈에 1개의 긴요한 점만), 그것이 비판되는 곳에 있습니다. 더 큰 문제는, 그러나, 키가 깨졌다. 한국은 거의 스마트 컨트랙트 레벨 공격을 나타낸다, 대부분 코드 공격이 아니라 사람들. 이것은 소셜 엔지니어링을 통해 특별한 특권을 가진 컴퓨터와 열쇠에 접근합니다。
응답할 것이다 2가지 방법이 있습니다: 첫째로, 보안 기준을 강화해서. 많은 양의 돈을 관리한다면, 컴퓨터 보안 수준은 전통적인 큰 기술 회사의 CEO처럼되어야 합니다. 그러나 암호화 산업은이 수준에 없습니다。
$ 72 백만으로 거래하는 방법
Zack Guzman : 약 $ 72 만 복구? 그리고 당신은 투표
그래, 재미있을거야. Aave와 Kelp DAO 생태의 사용자는 더 나은 위치에 있을 것입니다, 그러나 특정한 해결책은 결정하게 어렵습니다. DAO 내부 조정은 정부와 큰 조직으로 어렵습니다. 특히 명확한 최종 결정 제조업체의 부재。
그 전에, Aave와 Kelp DAO는 서로에서 감소, 그리고 지금, Arbitrum과 함께, 3 DAO 협력이되었다. 밝은 쪽에, 돈의 실제 할당이 있고, Aave와 Kelp DAO는 서로 덤프 할 수 없으며, 그들은 공개적으로 계획해야합니다. 사용자의 수익은 궁극적으로 Arbitrum DAO 통화의 홀더에 의해 투표를해야합니다。
내 개인 위치는 사용자에 100 %가 직접 반환 될 때까지, Arbitrum DAO는 돈을 방출하지 않아야한다。
보안위원회는 비상 상황에서만 운영해야한다. 우리는 0x000 DAO의 주소로 돈을 보내, "DAO"Suffix, 이는 지금 DAO 커뮤니티에 속하는 돈을 의미. Arbitrum DAO의 클라이언트이기도 합니다. 그러나 총 투표는 200 백만 투표가 될 수 있으며, 약 10 백만 투표 또는 약 5 %가 있습니다. 나보다 훨씬 더 있습니다。
방법 아래 프로젝트
Zack Guzman : 당신이하는 일에 대해 이야기합시다. 보안에 관한 것입니다。
나는 DAO 이후이 산업을 구축하고있다. I'm와 관련된 플랫폼 중 하나는 Ether House에서 많은 비영리 단체가 돈을 올리는 데 도움이됩니다. 나는이 비영리 단체는 당신이 생각할 수있는 모든 방법에 돈을 던졌다 : 올바른 주소로 돈을 보내하지만 잘못된 체인, 낚시, 스마트 계약 루프홀, 교환을 검게, 등。
오늘날의 기술 수준에서 우리는 PayPal보다 안전한 무언가를 만들고 은행보다 더 안전하게 만들 수 있습니다. 기술이 있습니다. 그러나 진실은, 나는 낚시 후 자신의 은행 계좌를 훔친 사람이 알지 못하지만, 나는 물고기를 잃고 암호를 잃은 많은 사람들을 알고。
그래서 우리는 DAO 보안 기금을 만들었습니다. 목표는 Ethera를 은행보다 안전하게 만들 것입니다. 우리는 약 $170 백만 권의 자산을 가지고, 권고를 사용하여 보안 영역에서 자금의 장기 소스로 진행。
거대한 자금의 첫 라운드는 내일을 시작합니다. qf.giveth.io에서 보안 프로젝트에 기여할 수 있습니다. 기여 방향에 따라 $ 1 백만 풀은 보안 프로젝트에 비례적으로 배포됩니다。
그러나 기금보다 더 중요한 것은 프로젝트 발견입니다. 시장에서 수백 개의 무료 오픈 소스 보안 도구가 있지만 많은 사람들이 존재하지 않습니다. 이 라운드의 핵심 목적은 한 곳에서 함께 이러한 프로젝트를 가져 와서 볼 수 있도록합니다. 기금은 이러한 프로젝트를 살아남을 수 있지만, 실제로 영향력이 시장 신호는 다음과 같습니다. 프로젝트가 가장 필요하고 방향이 더 많은 입력을받을 수 있습니다。
Circle 와 기술 비교
Zack Guzman : 보안위원회 (Security Council)와 같은 메커니즘이 없을 때 실제로 언 자산의 문제를 직면하기 위해 강제되는 안정적인 통화 (예 : Circle)의 중앙 발행자입니다. 이 두 패턴의 생각은 무엇입니까
이 문제를 해결할 수 있다면 책임이 있습니다. 악에 대한 모든 것이 필요한 오래된 말이 있습니다。
나는 매우 명확합니다 : Circle에서 분명히 좋지 않습니다. 그들은 아무것도 할 것을 선택했습니다. 대조적으로, Tether, 민주화민 공화국의 자금은 지속적으로 얼고 $ 72 백만 이상 회복되었습니다。
다른 방법이라고 생각할 수 있지만, Tether의 창립팀이 DeFi, Crypto이기 때문에 생각하고, 그들은 일부 오래된 학교 암호화 값을 유지합니다. Circle의 기원은 Goldman Sachs이며, 의사 결정의 논리는 잘 진술을 보는 방법입니다. 조선민주주의인민공화국에서 기금을 동결하면 돈을 벌고, 그들은 확실히 할 것입니다。
나는 Tether Extremist가 아닙니다. 나는 더 decentrized. 그러나이 문제에 서클의 성능을 이해하기 어렵습니다. 우리는 USDC를 공동으로 판매해야 할지 모르겠습니다. 북한 공격은 우리의 포트폴리오를 파괴뿐만 아니라 실제 세계의 보안을 위협합니다. 북한을 멈추지 않는 한 모든 사람이 손상됩니다。
Zack Guzman : 블록 체인 세계의 정치는 많은 사람들이 실현하는 것보다 훨씬 복잡합니다。
Griff 녹색: 권리. 당신은 금융, 단단한 핵이지만 많은 정치 토론이 있습니다. 자기 통제에 대한 토론과 새로운 기본 프레임 워크에 사회를 구축하는 방법은 매우 집중적입니다. 그러나 모든 시간 나는 실제 세계에 땅에 이러한 것들을 가져려고, 나는 보안 문제로 종료。
북한의 위대한 어코드 공격은 차원입니다. 그러나 많은 저수준 문제가있다, 같은 사기성 전화 통화는 Coinbase, 사용자 경험 개선. 많은 문제는 국가 수준의 공격이 아니지만 자체 기술은 아직 작동하지 않았습니다。
나는 2013 년에 암호로 갔다 내 첫 번째 마스터 's 학위를 받았습니다. 디지털 통화 2016. 나는 공익을 위해 건물, 정부보다 더 나은 무언가를 구축하려고, 하지만 반복적으로 같은 문제에 의해 차단: 이 기술은 아직 평범한 사람들을 위해 안전하지 않지만 그것을 바꿀 수있는 좋은 기회가 있습니다。
