Arbitrumセキュリティカウンシルメンバーが7,200万ドルの北朝鮮暗号資産回収後にDeFiリスクを指摘

TLDR:

• ArbitrumのSecurity Councilは、Kelp DAOのクロスチェーンブリッジ攻撃を通じて北朝鮮のウォレットに追跡された7200万ドルの盗難資金を凍結した。
• Griff Greenは、流出した秘密鍵とソーシャルエンジニアリングが今やスマートコントラクトのバグよりも大きな脅威となっていると警告している。
• Aaveなどの貸出プロトコルは、リキッドステーキングトークンのリスク管理が甘すぎると指摘されている。
• 回収された7000万ドルは、分散型のArbitrum DAOトークン保有者による投票を通じて、被害を受けたユーザーに再分配される予定だ。

Arbitrum Security CouncilメンバーのGriff Greenは、貸出プロトコルがリキッドステーキングトークンを扱う方法について懸念を示した。

2016年のイーサリアムDAOハック経験者であるGreenは、分散型金融全体にわたる運用セキュリティの欠陥を指摘した。彼は北朝鮮のハッカーに関連する7200万ドルの盗難暗号資産の回収を受けて発言した。

この事件はKelp DAOのエクスプロイトによるもので、Aaveに影響を与え、クロスチェーンブリッジ攻撃を通じて約3億ドル相当のトークンが盗まれた。

Arbitrum Councilが盗難資金の凍結に介入

Arbitrum Security Councilは、7200万ドルを北朝鮮が管理するウォレットに追跡した後、迅速に行動した。このCouncilは12人中9人の署名が必要なマルチシググループとして機能し、緊急介入権限を持つ。

Seal 911チームと協力して、Councilは盗まれた資金を新しいアドレスに凍結した。そのアドレスは攻撃者がアクセスできない状態を維持しており、それ以上の資金移動を効果的に阻止している。

Greenは、Councilが資金を直接凍結する権限を行使したのは今回が初めてであると述べた。以前は、その権限はプロトコルのアップグレードとバグ修正のみに限られていた。

この行動はコードの不変性ではなく、社会的コンセンサスに基づいていた。Greenはこの種の介入の前例として、2016年のイーサリアムDAOハードフォークを引き合いに出した。

ブロックチェーンの性質について、Greenは明確に述べた：「ブロックチェーンは不変ではなく、社会的コンセンサスによって変更することができる。」

彼はイーサリアムDAOハードフォークを、必要なときにコミュニティが行動できる証拠として挙げた。しかし今回は、自分自身の資金ではなく第三者の資金が関わっていた。その違いにより、回収作業は個人的な切迫感は薄れたが、緊急性は変わらなかった。

回収された7000万ドルは今後、Arbitrum DAOのガバナンス下に置かれる。トークン保有者は、その資金を被害ユーザーにどのように再分配するかを投票で決定する。

このアプローチは分散型ガバナンスの実践を反映している。また、将来の事件において盗難資金がどのように扱われるかの先例を打ち立てるものでもある。

Greenが業界全体の脆弱な運用セキュリティを指摘

Greenは、スマートコントラクトのバグはもはや暗号資産が直面する最大の脅威ではないと述べた。代わりに、秘密鍵の流出などの運用セキュリティの失敗を指摘した。

特に北朝鮮の行為者は、ソーシャルエンジニアリング戦術に大きく依存している。これらの手法はコードレベルの保護を完全に回避し、人間の脆弱性を標的にする。

より広範なセキュリティの欠陥に対処するため、Greenは業界が成熟したテクノロジー企業の基準に合わせなければならないと警告した。

彼は、北朝鮮のような攻撃者は「スマートコントラクトのエクスプロイトではなく、ソーシャルエンジニアリングに頼ることが多い」と指摘した。この戦術の変化は、技術的な監査だけではもはや十分ではないことを意味する。チームは内部プロセスとアクセス制御も強化しなければならない。

Greenはまた、Aaveのような貸出プロトコルがリキッドステーキングトークンをどのように扱っているかについても言及した。彼はこれらのプラットフォームが「リキッドステーキングトークンに対して管理が甘すぎる」と考えており、根本的な技術リスクを見落としていると指摘した。

その見落としにより、悪意のある行為者がクロスチェーンブリッジ攻撃を通じて悪用できるリスクが生まれる。これらの資産に関するより厳格なリスクフレームワークにより、その脆弱性を大幅に低減できるだろう。

今後を見据え、GreenはDAOセキュリティファンドのような継続的な取り組みを支持している。このイニシアチブはイーサリアム全体で重要なセキュリティプロジェクトを特定し、支援することを目的としている。

より強固なインフラは、長期的に広範なエコシステム全体に利益をもたらす。暗号資産を一般ユーザーにとって安全でアクセスしやすいものにすることが、長期的な目標として変わらず掲げられている。

この記事はBlockonomiに最初に掲載されました：Arbitrum Security Councilメンバーが7200万ドルの北朝鮮暗号資産回収後に分散型金融のリスクを警告。