Arbitrum se fait passer pour un pirate informatique afin de « récupérer » l’argent perdu par KelpDAO
TechFlow SélectionTechFlow Sélection
Arbitrum se fait passer pour un pirate informatique afin de « récupérer » l’argent perdu par KelpDAO
Même si Arbitrum a utilisé ses privilèges « divins », il est clair que ce combat est loin d’être terminé.
Dédié à des analyses Web3 approfondiesAuteur : TechFlow
La semaine dernière, KelpDAO a été piraté pour près de 300 millions de dollars, constituant à ce jour le plus grave incident de sécurité dans le domaine DeFi cette année.
Les ETH volés sont désormais répartis sur plusieurs blockchains ; environ 30 765 ETH sont restés sur un seul compte de la chaîne Arbitrum, représentant une valeur supérieure à 70 millions de dollars.
Cette affaire semblait close — jusqu’à ce qu’un épisode inattendu en soit publié aujourd’hui.
Selon une surveillance effectuée par l’organisme de sécurité blockchain PeckShield, les fonds détenus sur l’adresse du pirate sur Arbitrum ont été transférés il y a quelques heures. Ce qui semble étrange, c’est que ces fonds ont été envoyés vers une adresse inhabituelle composée presque entièrement de zéros : 0x00000....
À ce moment-là, beaucoup se demandaient si le pirate avait lui-même envoyé les fonds vers une « adresse noire » afin de les brûler, ou s’il avait eu un accès soudain à sa conscience morale — voire s’il avait été « recruté ».
Aucune de ces hypothèses n’est exacte.
Il y a quelques heures, le forum officiel d’Arbitrum a publié une annonce d’urgence expliquant la situation : les fonds du pirate ont été transférés par le Conseil de sécurité d’Arbitrum.
Mais ce qui est remarquable, c’est que, sans connaître la clé privée de l’adresse du pirate, le Conseil de sécurité n’a ni gelé ni transféré directement les fonds — il a simplement émis une instruction de transfert « au nom du pirate ».
Le pirate lui-même n’était pas informé de cette opération, sa clé privée n’a pas été compromise, et l’enregistrement sur la chaîne donne l’impression que le transfert a été effectué par le pirate lui-même.
Le mécanisme technique utilisé repose sur le fait que tous les messages interchaînes entre Arbitrum et Ethereum transitent par un contrat pont appelé « Inbox ». Le Conseil de sécurité a activé ses pouvoirs d’urgence pour mettre à niveau temporairement ce contrat et y ajouter une nouvelle fonctionnalité :
permettre l’envoi de transactions interchaînes au nom de n’importe quelle adresse de portefeuille, sans nécessiter la clé privée correspondante.
Le Conseil a ensuite utilisé cette fonction pour forger un message dont l’expéditeur était indiqué comme étant le portefeuille du pirate, avec pour contenu : « Transférez tous mes ETH vers l’adresse de gel. » Une fois reçu, Arbitrum a exécuté normalement ce message, donnant lieu à la scène surprenante visible sur la capture d’écran ci-dessus.
Une fois le transfert des fonds du pirate effectué, le contrat a immédiatement été ramené à sa version initiale. Mise à niveau, falsification, transfert et restauration ont toutes été réalisées dans une seule transaction Ethereum. Aucun utilisateur ni aucune application tierce n’a été affectée.
Cette opération est sans précédent dans l’histoire d’Arbitrum.
Selon l’annonce publiée sur le forum, le Conseil de sécurité avait préalablement identifié le pirate, en lien avec le groupe nord-coréen Lazarus Group — l’organisation étatique de pirates informatiques la plus active dans le domaine DeFi cette année. Après une évaluation technique visant à garantir qu’aucun autre utilisateur ne serait impacté, le Conseil a procédé à l’intervention.
Comme le pirate avait commis une infraction première, cette manœuvre pourrait être perçue comme une réponse pragmatique : « Ne nous reprochez pas de ne pas respecter les règles du jeu. » Quant au sort réservé aux ETH gelés, il sera décidé par vote de gouvernance au sein du DAO d’Arbitrum, en coordination avec les autorités compétentes.
Récupérer plus de 70 millions de dollars de fonds volés est bien entendu une bonne nouvelle. Toutefois, la condition préalable à cette réussite mérite attention : parmi les 12 membres du Conseil de sécurité, 9 signatures suffisent pour contourner intégralement tout processus de gouvernance et mettre à niveau, sans délai, n’importe quel contrat centralisé sur la chaîne.
Féliciter le résultat, craindre le pouvoir ?
Pour l’instant, les réactions communautaires sont profondément divisées.
Certains estiment qu’Arbitrum a agi avec efficacité, protégeant les actifs au moment critique, renforçant ainsi la confiance dans les solutions L2. D’autres posent une question plus directe : si 9 personnes peuvent, par simple signature, manipuler n’importe quel actif au nom de n’importe qui, peut-on encore parler de décentralisation ?
L’auteur estime que les deux camps ne parlent pas de la même chose.
Le premier insiste sur le résultat, le second sur le pouvoir. Le résultat est indéniablement positif : plus de 70 millions de dollars de fonds volés ont été récupérés. Mais la capacité démontrée par Arbitrum — celle de modifier via multisignature une fonction contractuelle — est neutre en soi. Son usage fut cette fois dirigé contre un pirate, mais son emploi futur, ses limites et ses modalités dépendront entièrement de la gouvernance du Conseil.
Cela dit, pour la plupart des utilisateurs d’Arbitrum, ce débat pourrait paraître moins concret qu’un autre fait : Arbitrum n’est pas une exception. En effet, la quasi-totalité des principales solutions L2 conservent aujourd’hui des pouvoirs similaires d’urgence.
La chaîne que vous utilisez possède très probablement elle aussi un Conseil de sécurité doté de capacités comparables. Ce n’est donc pas un choix unique à Arbitrum, mais un schéma de conception largement adopté par les L2 à ce stade.
Autre perspective : cet épisode révèle en réalité un tableau plus vaste.
L’attaquant est le groupe nord-coréen Lazarus Group, crédité cette année d’au moins 18 attaques contre des protocoles DeFi. Il y a trois semaines, il a volé 285 millions de dollars sur Drift Protocol, en utilisant une méthode totalement différente.
D’un côté, des pirates étatiques perfectionnent continuellement leurs techniques d’attaque ; de l’autre, les L2 commencent à mobiliser leurs permissions fondamentales pour riposter. La guerre de la sécurité dans le domaine DeFi quitte progressivement la phase « gel post-facto, appels publics sur la chaîne, espoir d’une intervention par des hackers éthiques », pour entrer dans une nouvelle ère.
Une « clé universelle » a été fabriquée en période d’urgence afin d’ouvrir l’adresse du pirate, puis détruite aussitôt après utilisation. Du seul point de vue de la capacité à répondre efficacement à une attaque, cela ne constitue pas une mauvaise performance.
Si l’on souhaite toutefois porter le débat au niveau philosophique de la « décentralisation », alors de nombreux autres sujets pourraient être abordés. L’industrie cryptographique comporte déjà de nombreuses pratiques centralisées ; ici, du moins, on traite un événement négatif et on cherche à le résoudre — plutôt que de le générer.
Revenons à une analyse plus pragmatique : KelpDAO a perdu 292 millions de dollars, dont seulement plus de 70 millions ont été récupérés — soit moins d’un quart du montant total. Le reste des ETH est toujours dispersé sur d’autres chaînes ; plus de 100 millions de dollars de créances impayées subsistent sur Aave, et le montant que les détenteurs de rsETH pourront effectivement récupérer demeure incertain.
Même avec l’activation de « pouvoirs divins » par Arbitrum, la bataille est loin d’être terminée.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
深潮TechFlow
