Anggota Dewan Keamanan: Mengapa kita menggunakan wewenang Tuhan untuk membekukan $72 juta

Kompile Kompil & nbsp;   Deep air pasang TechFlow

Para tamu: Griff Green, anggota Komite Keamanan Arbitrum

Moderator: Zack Guzma

link asli:

https://www.techflowpost.com/zh-CN/article/3192

Bimbingan Penyuntingan Sumbangan

Selama beberapa hari terakhir, Ether dan seluruh cincin enkripsi telah mengawasi Kelp DAO (perjanjian re-kolateralisasi likuiditas) meretas dan mempengaruhi Aave。

Komite Keamanan Arbitrum menggunakan kekuatan darurat untuk membekukan dan memulihkan sekitar $72 juta aset dari lokasi yang diduga berada di bawah kendali peretas Korea. Ini adalah pertama kalinya dalam industri enkripsi saat ini bahwa sebuah "L2" telah membuka "Keizinan Tuhan" untuk membekukan dana di alamat tertentu. Sebelum podcast dikumpulkan, ada perdebatan yang sedang berlangsung di masyarakat tentang kemampuan Arbitrum untuk \"mentransfer aset alamat\" meskipun melakukan hal yang benar, menimbulkan keraguan tentang batas kemampuan dan sentralisasinya。

Tetamu dari podcast adalah salah satu anggota Dewan Keamanan bahwa Arbitrum berhak membuat keputusan ini, Griff Green. Pada saat yang sama, Griff, seorang kerabat hacker DAO 2016 dan salah satu promotor dari hard-drives dari Taichang, langsung mengkritik "continuing inaction" dari Circe (USDC penerbit) dalam insiden peretas Korea dalam wawancaranya dan berpendapat bahwa logika keputusan dari Circe sepenuhnya didorong oleh pernyataan keuangan。

Catatan Mahal

Ini kesalahan untuk tidak merusak rantai

” Hal ini dirasakan bahwa rantai blok tidak dapat diubah, tetapi dalam prakteknya didasarkan pada konsensus sosial. Jika semua setuju dengan perjanjian peningkatan, aturan bisa diubah. Jadi itu adalah Taifah dan Bitcoin."

Itulah sebabnya orang-orang di komunitas Bitcoin berbicara tentang pembekuan koin pintar. Hal ini secara teknis layak, karena rantai blok tidak benar-benar tidak dapat diubah, itu hanya aturan. \"

Blok bangunan sebenarnya dari sentralisasi adalah perilaku pasar

Jika orang tidak suka keputusan kita, mereka akan menjualnya. Jika jaringan bitcoin dikoordinasi untuk mencuri uang orang, pemegang jelas akan menjualnya. Diakonsentralisasi asas yang sebenarnya adalah perilaku pasar, di mana peran dinamika pasar sangat diremehkan.\"

Sejujurnya, tidak ada yang akan menyalahkan kita karena tidak melakukan apa-apa. Tidak ada risiko melakukan apa-apa, sehingga Anda perlu sedikit mengambil risiko."

Pola serangan hacker Korea

Korea Utara jarang membuat serangan tingkat kontrak pintar. Sering kali ini bukan kode, tapi orang. Melalui rekayasa sosial, mereka menemukan pemegang kunci dengan hak istimewa khusus dan memiliki akses ke komputer dan kunci

Aku tidak tahu mengapa mereka meninggalkan uang di satu alamat selama dua hari. Mungkin mereka bekerja tiga hari berturut-turut, istirahat pada hari Minggu dan terlambat pada hari Senin. Ini adalah jendela kita

Lingkaran Faksif melawan Tether

Saya mengatakan satu hal yang sangat jelas: jelas tidak ada orang baik di Circle. Karena mereka telah memilih untuk tidak melakukan apa-apa. Sebaliknya, Tether, dana DPRK terus-menerus dibekukan dan jauh lebih dari $7 juta telah pulih.\"

Asal usul ŚCircle bukan asli kripto, melainkan Goldman Sachs. Jadi logika dari pengambilan keputusan mereka adalah bahwa masalah ini tercermin dalam pernyataan. Jika pembekuan dana di DPRK membuat mereka mendapatkan uang, mereka akan melakukannya.\"

Keamanan adalah rintangan terbesar untuk industri enkripsi

Dengan teknologi hari ini, kita bisa membuat sesuatu yang lebih aman daripada PayPal dan lebih aman daripada bank. Bawa bank dan infrastruktur PayPal, menghapus kepercayaan, membuatnya versi non-host, dan teknologi di tempat."

aku tidak tahu siapa pun yang uang rekening banknya dicuri setelah memancing. tapi aku tahu banyak orang yang kehilangan kripto setelah di ikani."

Aku telah membangun untuk kebaikan publik, mencoba membangun sesuatu yang lebih baik dari pemerintah, tapi berulang kali diblokir oleh masalah yang sama: Teknologi tokologi ini belum dapat digunakan dengan aman oleh orang-orang biasa.\"

Bukalah kekuatan Tuhan

Zack Guzman: Banyak orang mengikuti perkembangan. kontroversi belum berhenti. Mari kita mulai dengan struktur Komite Keamanan Arbitrum. Anda adalah anggota Dewan Keamanan, dan ini adalah keputusan yang sangat serius dalam pos Anda. Bisa kau ceritakan bagaimana semua ini terjadi

Griff Green: Kelp DAO diserang dan tanggung jawab utama dibantah antara Kelp DAO dan LayerZero, tetapi dampaknya memang mencapai Aave. Itu adalah serangan rantai silang, yang telah dicuri dari jembatan oleh hacker sekitar $ 300 juta di Layer 2, dan diendapkan ke ETH sebagai jaminan pada jaringan Taifung dan Arbitrum。

Setelah peretas Korea Utara mendapatkan ETH, mereka menyimpannya di dompet mereka selama berhari-hari, memberi kita jendela waktu untuk mengkoordinasikan penyelamatan. Diafler Arbitrum, yang masih dalam tahap pengembangan 1 rollup (yang berarti jaminan keamanan tertentu tetapi belum sepenuhnya terdesentralisasi), memiliki komite keamanan. Ini adalah 9-of-12 tanda tangan ganda (sembilan belas tanda tangan diperlukan untuk 12 anggota untuk melakukan operasi). Kami bekerja sama dengan tim Seal 911 (Security Emergency Response Organization for Encryption) untuk menggunakan hak istimewa darurat untuk mentransfer dana dari alamat yang dikendalikan DPRK dan membekukannya ke alamat baru yang tidak dapat mereka aksesi。

Dasar rantai blok

Aku tidak tahu aku membutuhkan 9-of-12 ambang, dan banyak orang tampaknya tidak tahu bahwa Arbitrum memiliki kemampuan itu. Anda mungkin tidak ingin hacker Korea tahu tentang fungsi ini。

Sebenarnya, itu informasi publik. Kurasa ada kesalahpahaman tentang teknologi rantai blok. Akar dari rantai blok adalah kode sumber terbuka, node berjalan di server dan konsensus sosial。

Proyek pertamaku adalah DAO. Kami mengumpulkan $150 juta dan kemudian kami diretas. Jika kau ingin tahu lebih banyak tentang Laura Shin's "The Cryptopians", ada 100 halaman yang dikhususkan untuk ini. Akhirnya, kami melakukan sesuatu yang sangat mirip dengan apa yang kami lakukan pada Arbitrum: Dia melanggar aturan dan memindahkan uang dari dompet hacker tanpa izin。

Ini dapat dilakukan pada Ether, pada bitcoin, pada rantai apapun. Karena rantai blok pada dasarnya didasarkan pada konsensus sosial, sekarang ada orang-orang di komunitas Bitcoin yang berbicara tentang pembekuan koin cerdas yang dapat dicapai jika semua setuju。

Perbedaan sedikit pada Arbitrum adalah bahwa tidak perlu untuk meyakinkan operator node jaringan, tetapi ada dua jalur: pemegang token ARB dapat memilih untuk melakukan operasi yang sama, atau Komite Keamanan 9-of-12 mungkin melakukan lebih dari tanda dalam keadaan darurat. Sebelumnya, kompetensi Dewan Keamanan hanya digunakan untuk memperbaiki bug dan mengupgrade perjanjian, dan dana belum pernah dibekukan. Ini juga pertama kalinya, sejauh yang saya tahu, bahwa ada besar L2-beku rantai。

Perbandingan insiden

Bagaimana perasaanmu saat kau meretas DAO dan ini

Ini jauh lebih mudah. DAO adalah proyekku sendiri, meretas $ 150 juta, lebih stress. Kali ini, saya tidak secara pribadi kehilangan uang tetapi turun tangan sebagai anggota Dewan Keamanan。

Dan sekarang infrastruktur terlalu baik untuk dapat mengetahui lebih cepat apa yang terjadi. DAO digodam ketika kami tidak tahu siapa hacker itu. Kali ini, Seal 911 dapat menghubungi FBI, pada dasarnya mengkonfirmasi bahwa penyerang adalah hacker Korea. Kami telah mendapatkan informasi ekstra-ekologi melalui jaringan di belakang layar yang telah kami dirikan selama bertahun-tahun。

Diskusi isu kunci

Zack Guzman: Dalam diskusi pengambilan keputusan, salah satu aspek inaksi adalah mengizinkan DPRK untuk mempertahankan dana ini. Namun pada gilirannya, ada kekhawatiran bahwa ini akan memiliki efek dingin pada DeFi. Apa proses diskusinya

Pertama, tantangan teknologi. Kami butuh banyak waktu untuk menemukan solusi teknologi yang sempurna, dan itu luar biasa untuk menemukannya sendiri, berkat teknokrat di balik itu。

Ketika teknologi teknologi bertekad untuk menjadi layak, ada diskusi yang nyata: ya, tapi bukankah begitu

Dari sudut pandang saya sendiri, para penyerang hampir pasti menjadi Korea Utara, yang melibatkan $72 juta, dan DeFi berisiko tertinggal. Ini tugas saya untuk mempertahankan Konstitusi Arbitrum dan melakukan apa yang saya pikir benar tentang Arbitrum. Tidak ada yang akan menyalahkan kita untuk memilih untuk tidak melakukan apa-apa, hampir tanpa risiko. Jadi itu benar-benar membutuhkan sedikit petualangan。

Beberapa orang sakit dan berpikir, "9 orang bisa melakukan ini pada rantai." Tapi aku katakan padamu, lebih sulit dari yang kau pikir untuk mendapatkan sembilan ahli keselamatan untuk setuju untuk melakukan sesuatu tentang keengganan risiko ekstrim. Mungkin lebih sulit daripada mengkoordinasikan kolam tambang untuk membekukan koin pintar。

Pesan kunci adalah bahwa sistem tetap terdesentralisasi. Hal ini tidak hanya tercermin pada tingkat struktural tetapi juga pada sentimen pasar dan perilaku harga. Jika orang tidak suka keputusan kita, mereka akan menjualnya. Wacana dinamika pasar dalam hal ini telah diremehkan secara serius。

\"Zakza Guzman: Komite Keamanan dipilih oleh pemegang token ARB\". Akankah acara ini menjadi contoh untuk mengubah sikap terhadap hacker di ETA

Griff Green: Satu hal yang diremehkan: hacker jarang meninggalkan uang mereka di satu alamat selama dua hari. Ini karena mereka tidak bergerak bahwa kita memiliki jendela aksi. Aku tidak berpikir pernah ada peretasan sebelumnya di Arbitrum. Aku tidak tahu mengapa mereka tidak mentransfer uang. Mungkin mereka lelah selama tiga hari, istirahat hari Minggu, Senin akhir。

Jadi saya pikir orang akan lebih terbuka untuk ini. Hal ini bukan karena secara teknis mungkin (itu selalu mungkin) tetapi karena orang melihat operasi praktis. Asessment Project of the L2Beat (L2 Security Assessment Project yang disponsori oleh Yayasan Taifeng) dengan jelas menyatakan bahwa Komite Keamanan memiliki kekuatan peningkatan darurat. Hackers siap untuk mentransfer uang, dan kita beruntung。

Pelajaran Keamanan Keistimewaan

Pelajaran keamanan

Pertama, analisis risiko teknologi lebih baik. Aave melakukan dengan baik dalam mengontrol akses ke nilai pasar rendah, token volatilitas tinggi, tetapi terlalu longgar menempatkan janji token cair (LST). Aset bawah token ini adalah ETH, dan risiko ekonomi memang rendah, tetapi dimensi risiko teknologi membutuhkan pengawasan yang lebih besar. Ini bukan hanya soal Aave, Morpho, Compund, Sky, dan lain-lain, dan semua perjanjian pinjaman memerlukan dua kali lipat investasi dalam analisis risiko teknologi。

Kellp DAO memiliki kegagalan poin tunggal (satu-dari-satu, i.e. hanya satu titik kritis untuk istirahat), yaitu di mana ia dikritik. Namun, masalah yang lebih besar adalah bahwa kunci telah rusak. Orang-orang. Ini berarti akses ke komputer dan kunci dengan keistimewaan khusus melalui rekayasa sosial。

Ada dua cara untuk menanggapi: pertama, dengan memperkuat standar keamanan. Jika Anda mengelola sejumlah besar uang, tingkat keamanan komputer Anda harus seperti CEO perusahaan teknologi besar tradisional. Tapi industri kripto tidak pada tingkat ini。

Bagaimana menangani $ 72 juta

Bagaimana dengan $ 72 juta yang ditemukan? Dan kau memilih

Ya, itu akan menyenangkan. Pengguna ekologi Aave dan Kelp DAO akan berada dalam posisi yang lebih baik, tetapi solusi spesifik sulit ditentukan. Koordinasi internal CONONO DAO sulit, seperti halnya pemerintah dan organisasi besar, terutama dalam ketidakhadiran pembuat keputusan akhir yang jelas。

Sebelum itu, Aave dan Kelp DAO dideduksi satu sama lain, dan sekarang, dengan Arbitrum, menjadi tiga kolaborasi DAO. Di sisi terang, ada alokasi uang yang nyata, dan Aave dan Kelp DAO tidak bisa hanya membuang satu sama lain, dan mereka perlu membuat rencana di depan umum. Pengembalian uang $72 juta kepada pengguna pada akhirnya akan memerlukan pemungutan suara oleh pemegang mata uang DAO Arbitrum。

Posisi pribadi saya adalah bahwa sampai 100 persen dikembalikan langsung ke pengguna, Arbitrum DAO tidak harus melepaskan uang。

Perlu dicatat bahwa Komite Keamanan hanya beroperasi dalam situasi darurat. Kami mengirimkan uang itu ke alamat 0x000 DAO, akhiran "DAO", yang berarti uang itu sekarang milik komunitas DAO. Aku juga klien Arbitrum DAO. Tapi total suara bisa 200 juta suara, dan saya hanya memiliki sekitar 10 juta suara, atau sekitar 5%. Ada lebih banyak daripada aku。

Proyek di bawah jalan

Mari kita bicara tentang apa yang kau lakukan. Ini tentang keamanan。

Aku membangun industri ini sejak DAO. Salah satu platform yang saya terlibat adalah Giveth, yang membantu banyak organisasi non-profit mengumpulkan uang di Ether House. Saya menonton organisasi non-profit ini melemparkan uang dalam setiap cara Anda dapat memikirkan: Mengirim uang ke alamat yang benar Tapi rantai yang salah, memancing, celah kontrak cerdas, blacking pertukaran, dll。

Kita bisa membuat sesuatu yang lebih aman daripada PayPal dan lebih aman daripada bank. Teknologinya sudah siap. Tapi sebenarnya, saya tidak tahu siapa pun yang dirampok rekening bank mereka setelah memancing, tapi saya tahu banyak orang yang dipancing dan kehilangan kripto。

Jadi kami membuat Dana Keamanan DAO. Tujuannya adalah membuat Ethera lebih aman daripada bank. Kami memiliki sekitar $ 170 juta dalam aset jaminan, menggunakan hasil janji sebagai sumber jangka panjang pendanaan di daerah keamanan。

babak pertama pendanaan besar akan dimulai besok. pada qf.giventh.io, anda dapat berkontribusi pada proyek keamanan. berdasarkan petunjuk kontribusimu, kolam $1 juta akan dibagikan secara proporsional ke proyek keamanan。

Tapi yang lebih penting dari pendanaan adalah penemuan proyek. Ada ratusan perangkat keamanan open-source gratis di pasar, tapi banyak orang tidak tahu mereka ada. Tujuan inti dari putaran ini adalah untuk membawa proyek-proyek ini bersama-sama dalam satu tempat dan untuk membuat mereka terlihat. Dana-dana senilai-banyaknya dapat membantu proyek-proyek ini bertahan, tetapi yang benar-benar berpengaruh adalah sinyal pasar: proyek mana yang paling dibutuhkan dan arah mana yang layak mendapat lebih banyak masukan。

Bandingkan Lingkaran dengan Tech

Maze Zack Guzman: Ketika tidak ada mekanisme seperti Dewan Keamanan, sebenarnya merupakan penerbit sentral mata uang stabil (misalnya, Circle) yang terpaksa menghadapi masalah aset beku. Apa pendapatmu tentang dua pola ini

Jika kau bisa menyelesaikan masalah ini, kau punya tanggung jawab. Ada pepatah lama yang mengatakan bahwa semua yang diperlukan untuk kejahatan untuk menang adalah bahwa orang baik tidak melakukan apa-apa。

Jelas tidak ada gunanya di Circle. Mereka memilih untuk tidak melakukan apa-apa. Kontrasnya, Tether, dana dari Republik Demokratik Rakyat Korea terus-menerus dibekukan dan pulih lebih dari $72 juta。

Anda mungkin berpikir sebaliknya, tapi saya pikir itu karena tim pendiri Tether adalah DeFi, Crypto, dan mereka menyimpan beberapa nilai kripto lama-sekolah. Asal-usul Circle adalah Goldman Sachs, dan logika pengambilan keputusan adalah seberapa baik pernyataan terlihat. Jika pembekuan dana di Republik Demokratik Rakyat Korea membuat mereka mendapatkan uang, mereka pasti akan melakukannya。

Aku bukan Tether Extremist. Aku lebih layak. Tapi sulit untuk memahami kinerja Circle dalam hal ini. Aku tidak tahu apakah kita harus menjual USDC secara kolektif untuk memberikan mereka cukup umpan balik pasar. Serangan Korea Utara tidak hanya menghancurkan portofolio kita, tapi juga mengancam keamanan dunia nyata. Semua orang rusak karena tidak menghentikan Korea Utara。

Politik dunia rantai blok jauh lebih rumit daripada yang disadari banyak orang。

Benar. Kau pikir itu keuangan, nuklir, tapi ada banyak diskusi politik. Pembahasan mengenai regulasi diri dan bagaimana membangun masyarakat pada kerangka dasar baru sangat intensif. Tapi setiap kali saya mencoba untuk membawa hal-hal ini ke tanah di dunia nyata, saya berakhir dengan masalah keamanan。

Serangan Korea Utara pada Great Accord adalah sebuah dimensi. Namun ada banyak masalah tingkat rendah, seperti panggilan telepon palsu yang meniru Coinbase, dan perbaikan pengalaman pengguna. Banyak masalah bukan serangan tingkat negara, tapi teknologi kita sendiri belum berhasil。

aku pergi ke kripto tahun 2013 dan mendapatkan gelar master pertamaku di mata uang digital tahun 2016. saya telah membangun untuk kepentingan publik, mencoba untuk membangun sesuatu yang lebih baik daripada pemerintah, tetapi berulang kali diblokir oleh masalah yang sama: teknologi ini belum aman bagi orang biasa, tapi ada kesempatan besar untuk mengubahnya。