Ang $62 milyon na hack kahapon ng NFT-gaming project na Munchables ay nagdulot ng kaguluhan sa komunidad ng crypto, na may mga panawagan para sa pangunahing koponan ng Blast na manu-manong i-undo ang pinsala sa sentralisadong rollup.
Sa kabutihang palad, ang naturang kontrobersyal na aksyon ay naging hindi kailangan. Sa sandaling ito ay naging malinaw na sila ay hindi upang makatakas sa kanilang ill-gotten gains, ibinalik ng rogue developer na responsable sa pagnanakaw ang mga pondo sa Blast team.
Magbasa nang higit pa: Ang larong Crypto na pinagsamantalahan para sa $4.6M, inaangkin ng hacker na white-hat
Tulad ng pag-hack ng DAO sa Ethereum noong 2016, pinipilit tayo ng insidente na isaalang-alang ang mga implikasyon ng panghihimasok sa dapat na mga hindi nababagong ledger.
Ang hack
Kahit na ang 'hack' mismo ay simple, ito ay naging pinlano mabuti nang maaga.
Bago ilunsad, ginamit ng isang buhong developer ang kanilang admin access upang italaga sa kanilang sarili ang isang mabigat na balanse ng eter sa isang nakaraang hindi na-verify na pagpapatupad ng kontrata ng Munchables.
Nang maglaon, nang magsimulang mag-stream ang mga deposito sa mga na-upgrade na kontrata, ang address ng mapagsamantala ay maraming ETH upang maubos ang mga pondo, na nag-withdraw ng humigit-kumulang 17,400 ETH, na nagkakahalaga ng mahigit $62 milyon noong panahong iyon.
Ang developer ay nagkaroon din ng admin access sa isang kontrata na may hawak na higit sa $30 milyon sa mga pondong idineposito ng isa pang proyektong nakabase sa Blast, kahon ng juice. Ang panganib sa sentralisasyon ay nakilala bilang mababang kalubhaan sa pag-audit ng proyekto, at ang mga paghahanda ng developer ay tila hindi napansin.
Ang salarin
Blockchain sleuth ZachXBT sa una pinaghihinalaan na ang responsableng developer ay bahagi ng Lazarus Group ng mga hacker na inisponsor ng estado ng DPRK, na itinuturo ang daliri sa isang profile sa GitHub na pinangalanang 'Werewolves0493.'
Siya rin iminungkahi na apat sa mga 'developer' ng proyekto ay maaaring sa katunayan ay parehong indibidwal, dahil sila ay na-link sa pamamagitan ng on-chain na paglilipat at sa pamamagitan ng mga deposito sa mga shared exchange address.
Ang CEO ng PixelCraft Studios, na pumunta sa coderdan.eth sa X (dating Twitter), ay nagbahagi ng kanyang tumakbo sa sa parehong developer, na tinanggal "sa loob ng isang buwan." Sa paghusga sa pamamagitan ng mga deposito sa kanilang mga address ng Binance, ChainArgos maniwala ang developer ay nagkaroon ng ilang panandaliang trabaho sa nakalipas na 18 buwan.
Kung ang taong ito ay konektado kay Lazarus o hindi, sinusubukan upang makalusot sa mga crypto team ay isang kilalang pamamaraan na ginagamit ng grupo ng pag-hack.
Ang dilemma
Mula nang bigyan ng parusa ng US Treasury ang crypto mixer na Tornado Cash, ang mapagkakatiwalaang pagtutol sa censorship ay naging mahalagang sukatan ng desentralisasyon ng blockchain. Ang pag-asa ay kung walang iisang entity na mag-aakusa ng pakikipag-ugnayan sa mga sanctioned na address, kung gayon walang sinumang mag-uusig.
Gayunpaman, gayundin, kung may sapat na kapangyarihan ng admin ang isang koponan sa pag-develop na nakabase sa US upang ibalik ang mga epekto ng mga pag-hack o mga aksyon ng mga sanction na entity, maaaring mapansin nito ang sarili nitong obligado na gawin ito.
Ang mga precedent ay naitakda sa nakaraan. Noong nakaraang taon, nagsagawa ang Jump Crypto ng 'counter-exploit' para mabawi ang 120,000 ETH na nawala sa Wormhole hack noong 2022, na nagkakahalaga ng mahigit $300 milyon noong panahong iyon.
Noong 2022 din, ang Binance-linked BNB Chain ay itinigil ng mga validator nito, na tinitiyak na ang mga nalikom ng $600 milyon na bridge hack ay hindi mai-siphone sa iba pang hindi gaanong censorable na chain.
Ang Blast mismo ay hindi eksaktong isang pangunahing halimbawa ng 'kawalang-pagtitiwala' na etos ng crypto, at hindi rin ito isang huwaran ng desentralisasyon.
Magbasa pa: Tinutuligsa ng mga kritiko ang Blast bilang pinakabagong sketchy scheme sa Ethereum
Noong inilunsad ang Blast, kasama ang isang FOMO-inducing points program, nag-aalok ito ng 'native yield' sa ETH at stablecoins, sa kabila ng mga deposito na napupunta lang sa isang multisig wallet habang ang network mismo ay binuo.
Ang katayuan ng Blast bilang isang pang-eksperimentong sandbox na halos hindi binibigyang-priyoridad ang desentralisasyon gaya ng naging dahilan ng iba pang mga network na maniwala na gumagamit ng sentralisadong kapangyarihan upang manu-manong ibalik hindi kanais-nais na mga aktibidad ay dapat hinihikayat upang gawing buo ang mga gumagamit.
Ngunit ang iba magtalo na ang naturang hakbang ay makikita bilang tanda ng pag-apruba para sa iba pang mga sentralisadong rollup (hal. Optimism at Base) na maaaring piliting i-censor ang kanilang aktibidad sa network.
Ang DAO
Ibinalik ang debate alaala ng The DAO hack noong 2016 na, nagkataon, ay nagsasangkot ng katulad na halaga ng dolyar na nawala (3.6M ETH, na nagkakahalaga ng halos $13B ngayon).
Magbasa nang higit pa: Ang Dencun ng Ethereum ay nagdudulot ng pagkawala ng layer 2 ng 'Blast'
Ang 'hard fork', na idinisenyo upang baligtarin ang pinsala, ay nagresulta sa isang chain split na humahantong sa Ethereum mainnet ngayon at ang pagpapatuloy ng pre-fork chain, na kilala ngayon bilang Ethereum Classic.
Dahil sa dalas kung saan ang mga gumagamit ng Ethereum ay nalantad sa mga pagkalugi ng $60 milyon at pataas mula noon, ang isang mahirap na tinidor upang malunasan ang isang hack ay tila halos hindi maiisip.
May tip? Padalhan kami ng email o ProtonMail. Para sa higit pang kaalamang balita, sundan kami sa X, Instagram, Asul na langit, at Google News, o mag-subscribe sa aming YouTube channel.
Pinagmulan: https://protos.com/blast-l2-hack-prompts-debate-over-centralization-of-ethereum-rollups/