O hack de ontem de US$ 62 milhões do projeto de jogos NFT Munchables causou um rebuliço entre a comunidade criptográfica, com apelos para que a equipe principal do Blast desfizesse manualmente os danos no rollup centralizado.
Felizmente, tal acção controversa revelou-se desnecessária. Quando ficou claro que eles estavam incapaz para escapar impune de seus ganhos ilícitos, o desenvolvedor desonesto responsável pelo roubo devolveu os fundos à equipe Blast.
Leia mais: Jogo criptográfico explorado por US$ 4.6 milhões, hacker afirma ser white-hat
Tal como aconteceu com o hack do DAO no Ethereum em 2016, o incidente obriga-nos a considerar as implicações de interferir no que deveriam ser livros imutáveis.
O hack
Embora o 'hack' em si fosse simples, foi planejado com bastante antecedência.
Antes do lançamento, um desenvolvedor desonesto usou seu admin acesso para atribuir a si mesmos um forte equilíbrio de éter em uma implementação anterior e não verificada do contrato Munchables.
Mais tarde, quando os depósitos começaram a fluir para os contratos atualizados, o endereço do explorador tinha ETH suficiente para drenar os fundos, retirando aproximadamente 17,400 ETH, no valor de mais de US$ 62 milhões na época.
O desenvolvedor também teve acesso de administrador a um contrato contendo mais de US$ 30 milhões em fundos depositados por outro projeto baseado no Blast, Caixa de suco. O risco de centralização foi identificado como baixa severidade na auditoria do projeto e os preparativos do desenvolvedor aparentemente passaram despercebidos.
O culpado
Detetive Blockchain ZachXBT inicialmente suspeita que o desenvolvedor responsável fazia parte do Grupo Lazarus da RPDC de hackers patrocinados pelo Estado, apontando o dedo para um perfil do GitHub chamado 'Werewolves0493'.
Ele também sugerido que quatro dos “desenvolvedores” do projeto podem de facto ser o mesmo indivíduo, uma vez que estavam ligados por transferências em cadeia e através de depósitos em endereços de troca partilhados.
O CEO da PixelCraft Studios, que atende por coderdan.eth no X (anteriormente Twitter), compartilhou seu correr em com o mesmo desenvolvedor, que foi demitido “dentro de um mês”. A julgar pelos depósitos em seus endereços Binance, ChainArgos Acreditar o desenvolvedor teve vários empregos de curto prazo nos últimos 18 meses.
Esteja este indivíduo ligado a Lázaro ou não, tentando infiltrar-se em equipes de criptografia é uma técnica conhecida usada pelo grupo de hackers.
O dilema
Desde a sanção do misturador de criptografia Tornado Cash pelo Tesouro dos EUA, a resistência confiável à censura tornou-se uma medida importante da descentralização de um blockchain. A esperança é que, se não houver uma única entidade para acusar de interagir com endereços sancionados, não haja ninguém para processar.
Da mesma forma, porém, se uma equipa de desenvolvimento baseada nos EUA tiver poderes administrativos suficientes para reverter os efeitos dos hacks ou das ações de entidades sancionadas, poderá ver-se obrigada a fazê-lo.
Precedentes foram estabelecidos no passado. No ano passado, a Jump Crypto conduziu uma ‘contra-exploração’ para recuperar os 120,000 ETH perdidos no hack Wormhole de 2022, no valor de mais de US$ 300 milhões na época.
Também em 2022, a cadeia BNB ligada à Binance foi interrompida por seus validadores, garantindo que os rendimentos de um hack de ponte de US$ 600 milhões não pudessem ser desviados para outras cadeias menos censuráveis.
O Blast em si não é exatamente um excelente exemplo do espírito de “falta de confiança” da criptografia, nem é um modelo de descentralização.
Leia mais: Os críticos criticam o Blast como o mais recente esquema incompleto no Ethereum
Quando o Blast foi lançado, juntamente com um programa de pontos indutores de FOMO, ele ofereceu “rendimento nativo” em ETH e stablecoins, apesar dos depósitos simplesmente irem para uma carteira multisig enquanto a própria rede estava sendo construída.
O status do Blast como uma sandbox principalmente experimental que não prioriza a descentralização tanto quanto outras redes levou alguns a Acreditar que usar poderes centralizados para reverter manualmente atividades desagradáveis devem ser encorajados para tornar os usuários inteiros.
Mas outros argumentar que tal movimento poderia ser visto como um sinal de aprovação para outros rollups centralizados (por exemplo, Optimism e Base) que poderiam ser forçados a censurar a sua actividade de rede.
The DAO
O debate trouxe de volta recordações do hack DAO de 2016 que, aliás, envolveu uma perda semelhante em dólares (3.6 milhões de ETH, que valeria quase US$ 13 bilhões hoje).
Leia mais: Dencun da Ethereum causa interrupção da camada 2 do ‘Blast’
O ‘hard fork’, projetado para reverter os danos, resultou em uma divisão da cadeia que levou à rede principal Ethereum de hoje e à continuação da cadeia pré-fork, agora conhecida como Ethereum Classic.
Dada a frequência com que os usuários do Ethereum foram expostos a perdas de US$ 60 milhões ou mais desde então, um hard fork para remediar um hack parece quase impensável.
Tem uma dica? Envie-nos um e-mail ou ProtonMail. Para notícias mais informadas, siga-nos em X, Instagram, Bluesky e Google News, ou assine nosso YouTube canal.
Fonte: https://protos.com/blast-l2-hack-prompts-debate-over-centralization-of-ethereum-rollups/