Un membre du Conseil de sécurité d'Arbitrum signale les risques de la DeFi après la récupération de 72 M$ en crypto liée à la Corée du Nord

TLDR :

• Le Conseil de sécurité d'Arbitrum a gelé 72 millions de dollars de fonds volés retracés vers des portefeuilles nord-coréens via une attaque du Bridge cross-chain de Kelp DAO.
• Griff Green avertit que les clés privées divulguées et l'ingénierie sociale représentent désormais des menaces plus importantes que les bugs de Smart Contract.
• Aave et les protocoles de prêt similaires sont pointés du doigt pour leur gestion trop souple des risques liés aux tokens de staking liquide.
• Les 70 millions de dollars récupérés seront redistribués aux utilisateurs affectés via un vote décentralisé des détenteurs de tokens de l'Arbitrum DAO.

Le membre du Conseil de sécurité d'Arbitrum, Griff Green, a exprimé des préoccupations concernant la manière dont les protocoles de prêt gèrent les tokens de staking liquide.

Green, vétéran du hack du DAO Ethereum de 2016, a signalé des failles de sécurité opérationnelle dans la DeFi / Finance Décentralisée. Il s'est exprimé suite à la récupération de 72 millions de dollars d'actifs crypto volés liés à des hackers nord-coréens.

L'incident impliquait une exploitation de Kelp DAO ayant affecté Aave et ayant abouti à environ 300 millions de dollars de tokens volés via une attaque de Bridge cross-chain.

Le Conseil Arbitrum intervient pour geler les fonds volés

Le Conseil de sécurité d'Arbitrum a agi rapidement après avoir retracé 72 millions de dollars vers des portefeuilles contrôlés par la Corée du Nord. Le conseil fonctionne comme un groupe multi-signatures neuf-sur-douze doté de pouvoirs d'intervention d'urgence.

En collaboration avec l'équipe Seal 911, le conseil a gelé les fonds volés dans une nouvelle adresse. Cette adresse reste inaccessible aux attaquants, bloquant ainsi tout mouvement ultérieur.

Green a noté que c'était la première fois que le conseil utilisait ses pouvoirs pour geler directement des fonds. Auparavant, ces pouvoirs ne couvraient que les mises à niveau de protocoles et les corrections de bugs.

L'action s'est appuyée sur un consensus social plutôt que sur l'immuabilité du code. Green a cité le hard fork du DAO Ethereum de 2016 comme précédent pour ce type d'intervention.

Sur la nature des Blockchains, Green a été direct : « Les Blockchains ne sont pas immuables et peuvent être modifiées par consensus social. »

Il a cité le hard fork du DAO Ethereum comme preuve que la communauté peut agir lorsque cela est nécessaire. Cette fois, cependant, les enjeux concernaient les fonds d'une autre partie plutôt que les siens. Cette distinction a rendu l'effort de récupération moins personnel, mais tout aussi urgent.

Les 70 millions de dollars récupérés relèveront désormais de la gouvernance de l'Arbitrum DAO. Les détenteurs de tokens voteront sur la manière de redistribuer ces fonds aux utilisateurs affectés.

Cette approche reflète la gouvernance décentralisée en pratique. Elle établit également un précédent quant à la manière dont les fonds volés pourraient être gérés lors d'incidents futurs.

Green dénonce la faiblesse de la sécurité opérationnelle dans l'industrie

Green a déclaré que les bugs de Smart Contract ne sont plus la plus grande menace pour les crypto. Il a plutôt pointé du doigt les failles de sécurité opérationnelle, telles que les clés privées divulguées.

Les acteurs nord-coréens, en particulier, s'appuient fortement sur des tactiques d'ingénierie sociale. Ces méthodes contournent entièrement les protections au niveau du code et ciblent les vulnérabilités humaines.

Abordant la faille de sécurité plus large, Green a averti que l'industrie doit se hisser au niveau des standards des entreprises technologiques matures.

Il a observé que les attaquants comme la Corée du Nord « s'appuient souvent sur l'ingénierie sociale plutôt que sur les exploits de Smart Contract. » Ce changement de tactique signifie que les audits techniques seuls ne sont plus suffisants. Les équipes doivent également renforcer leurs processus internes et leurs contrôles d'accès.

Green a également abordé la façon dont les protocoles de prêt comme Aave approchent les tokens de staking liquide. Il estime que ces plateformes sont « trop souples avec les tokens de staking liquide » et négligent les risques techniques sous-jacents.

Cette négligence crée une exposition que les mauvais acteurs peuvent exploiter via des attaques de Bridge cross-chain. Des cadres de risque plus stricts autour de ces actifs réduiraient considérablement cette vulnérabilité.

Pour l'avenir, Green soutient des initiatives en cours comme le DAO Security Fund. Cette initiative vise à identifier et soutenir des projets de sécurité critiques sur Ethereum.

Une infrastructure plus solide bénéficie à l'ensemble de l'écosystème sur le long terme. Rendre les crypto sûres et accessibles aux utilisateurs ordinaires reste l'objectif à long terme.

The post Arbitrum Security Council Member Flags DeFi Risks After $72M North Korea Crypto Recovery appeared first on Blockonomi.