Arbitrum安全理事会动用紧急升级权限,将黑客地址约3万枚ETH转至冻结地址
KelpDAO遭攻击后,Arbitrum安全理事会通过临时升级Inbox桥合约,以黑客钱包名义发出跨链指令,将约30765枚ETH转至受控地址。此次操作在Arbitrum历史上无先例,冻结资金后续处置仍待DAO治理投票与执法部门协调。
KelpDAO上周遭受攻击,总损失约2.92亿美元,其中约30765枚ETH滞留在Arbitrum链上某地址。链上安全机构PeckShield监测到该地址资金发生异动,目标为一个以0x00000开头的地址。
Arbitrum官方论坛随后发布紧急行动公告,说明上述转移由安全理事会主导。理事会并未掌握黑客私钥,而是通过临时升级Arbitrum与以太坊之间的Inbox桥合约完成操作——升级后的合约新增了一个函数,允许以任意钱包地址名义发出跨链交易,无需对应私钥。理事会利用该函数以黑客钱包名义发出指令,将ETH转至冻结地址。升级、发送伪造消息、完成转账、合约恢复降级,全部在同一笔以太坊交易内完成。
据论坛公告,安全理事会在行动前已与执法部门沟通,将黑客身份指向朝鲜Lazarus Group,并完成技术评估,确认操作不影响其他用户。Lazarus Group今年已被归因于至少18起DeFi攻击,三周前亦被指与Drift Protocol约2.85亿美元损失有关(上述归因均来自原文转述,非独立核实)。
Arbitrum安全理事会由12名成员组成,9人签字即可绕过治理投票、零延迟升级链上核心合约。目前主流L2普遍保留类似紧急升级权限。
此次追回约7000万美元(对应价格时点未注明),不足KelpDAO总损失的四分之一。Aave上超过1亿美元坏账尚无着落,rsETH持有者最终能收回多少仍未确定,其余被盗ETH仍散落在其他链上。冻结资金的后续处置需经Arbitrum DAO治理投票并与执法部门协调。
解读
此次操作的核心争议在于:安全理事会动用了一种在技术上可以"代替任意地址签名"的合约能力,即便目标是黑客地址,这一机制本身也意味着链上资产的最终控制权在特定条件下可被少数多签成员覆盖。这与去中心化协议"代码即法律"的预设存在张力。 从结果看,此次行动追回了部分资金,但也清晰暴露了当前主流L2在安全升级权限上的集中化现实——紧急情况下的快速响应能力,与用户资产不受单点控制的承诺,两者之间的边界仍是行业尚未解决的结构性问题。冻结资金的最终归属和分配方案尚未确定,后续治理流程的透明度将是观察重点。