Reaktion auf und Wiederherstellung nach einem + $ 50m Krypto-Hack des Haven-Protokolls - Die Insider-Geschichte
Dies ist ein Gastbeitrag von AHawk. AHawk entdeckte das Haven-Protokoll im Jahr 2018 und ist seit 2019 Community-Leiter des Projekts. Als Krypto-Investor und Enthusiast glaubt er, dass das Konzept eines Monero-basierten privaten Stablecoin-Ökosystems in den kommenden Jahren die Art und Weise, wie Menschen ihre finanzielle Privatsphäre schützen und mit Krypto interagieren, wirklich revolutionieren wird.
Oh nein... Was ist gerade passiert?
Es ist der schlimmste Albtraum eines jeden Entwicklers. Die Hölle eines Krypto-Projekts.
In den frühen Morgenstunden, wenn die meisten normalen Leute schlafen würden, arbeitete dieses kleine Kernteam mit halsbrecherischer Geschwindigkeit.
Das gesamte Kernteam hatte gerade von einem Exploit erfahren, der in ihrem Protokoll aufgetreten war, und es war ein Wettlauf gegen die Uhr, um die finanziellen Auswirkungen zu minimieren.
Mit einer herkulischen Reaktionszeit und einem vollständigen Patch in weniger als 8 Stunden würde der Exploit fast vollständig gestoppt. Aber es war nicht ohne eine wilde Verfolgungsjagd, einen Hacker in ihrer Mitte und einen massiven anfänglichen finanziellen Verlust.
Dies ist die wahre Geschichte eines kleinen engagierten Teams, einer Community und eines Hacks, der anfangs über 50 Millionen Dollar Schaden angerichtet hat.
Dies ist die Geschichte des Haven-Hacks, und ich werde Ihnen von innen erzählen, wie es war.
Hintergrundgeschichte
Es begann mit einer Frage. Eine, die viele Krypto-Investoren übersehen, die aber unbedingt zu berücksichtigen ist. Ich habe mir diese Frage zum ersten Mal gestellt, als ich Anfang 2017 anfing, in Kryptowährung zu investieren:
Wenn Sie Ihre Handelsgewinne sowohl vor Volatilität als auch aus Datenschutzgründen schützen möchten, wie würden Sie dies tun?
Vielleicht haben Sie neuen Reichtum gefunden und möchten kein Ziel für Betrüger oder ruchlose Schauspieler werden.
Vielleicht leben Sie in einem Land, in dem Kryptowährung illegal, verboten oder aktiv angegriffen wird.
Oder vielleicht leben Sie unter einer Regierung, die kontrollieren will, versucht hat oder plant, wie Sie Ihr hart verdientes Einkommen ausgeben - wodurch Ihre Fähigkeit, Wohlstand für Sie oder Ihre Familie zu erhalten oder aufzubauen, beseitigt wird.
Der Grund für Ihr Streben nach Privatsphäre kann variieren, aber die Frage bleibt noch offen. Wie bewahren Sie Ihre Privatsphäre und schützen gleichzeitig Ihre finanziellen Gewinne vor der Instabilität des Marktes?
Eine Kühlgeldbörse ist nur ein Teil der Gleichung. Da Datensätze und Adressen in der Blockchain unveränderlich und für immer in der Kette fixiert sind, können sie alle genutzt werden, um eine große Menge an Informationen aufzudecken.
Und aus Sicht der Finanzstabilität ist es immer deutlicher geworden, dass stabile Münzen wie Tether bei Bedarf Konten einfrieren können, während sie die Unsicherheit der tatsächlichen 1: 1-Verhältnisse von Stablecoin zu Dollar umgehen.
Es ist klar, dass große Technologieunternehmen und Regierungen sich in Richtung einer allgegenwärtigen Überwachung bewegen, die schließlich in den Finanzbereich eindringen wird - was unsere Fähigkeit bedroht, frei zu handeln, wie wir es wünschen.
Privatsphäre in der realen Welt war mir schon immer ein Anliegen. Datenschutz in der Kryptowelt war nie anders. Und doch wurde es (bis vor kurzem) nie gelöst.
Das Eintauchen in die Welt der Kryptowährung, so faszinierend sie auch war, ließ mich immer noch mit dieser quälenden Frage zurück. Was mich zu der geführt hat Oase Protokollprojekt Anfang 2018.
Am Morgen des Angriffs, nach fast 3,5 Jahren mühevoller Arbeit, drohte dieser Hack alles zu zerstören, wofür wir gekämpft hatten.
Nicht ein, sondern zwei Angriffspunkte
Es war Anfang April 2021, als der Kern Oase das Team skizzierte eine langfristige Vision, um das Projekt wirklich dezentralisiert und vollständig von der Community betrieben zu machen. Dies war etwas, das immer eine Priorität gewesen war.
Zu diesem Zeitpunkt hatte sich bereits eine wachsende Community entwickelt, und die Einführung neuer, privater synthetischer Assets im Haven-Netzwerk stand vor der Tür.
Aber nur einen Monat nach dem ersten Start von Havens synthetischen, datenschutzorientierten Stable Coins passierte der Hack.
Am Morgen des 23.Juni fand unser Kernteam heraus, dass ein skrupelloser Miner versucht hatte, den Code zu modifizieren - um eine unbekannte Schwachstelle in unserem Miner-Reward-Validation-Code auszunutzen. Durch die Änderung des Codes könnte der Hacker umfangreichere Mining-Belohnungen erzielen, die dem Miner nicht rechtmäßig zustehen.
Während Patches am selben Tag ausgerollt wurden und der Exploit unbrauchbar wurde, entdeckte das Team eine weitere Sicherheitslücke, die der Hacker zweimal ausgenutzt hatte. Der resultierende Effekt war, dass Hunderttausende von gefälschten stabilen Vermögenswerten geprägt wurden, was zu einem ungewöhnlich hohen Verkaufsvolumen von XHV (Token von Haven Protocol) an den Börsen unserer Partner führte.
Wenn es nicht kontrolliert würde, hätte die unbekannte (und potenziell unbegrenzte) Inflation von xAssets das Protokoll in eine Todesspirale stürzen können - den Preis von XHV zum Absturz gebracht und jahrelange harte Arbeit zurückgesetzt.
Immenser Druck
In einer von der Gemeinschaft geführten Organisation wie Haven kommen Menschen aus allen Gesellschaftsschichten zusammen, um zu einer größeren Idee beizutragen. Um diese Idee voranzutreiben.Das Konzept der finanziellen Privatsphäre vereint das Haven-Team, jeder im Kernteam ist dem Projekt gewichen und hat persönliche Ziele und Ambitionen geopfert, um etwas mit tiefgreifenden Konsequenzen für alle zu liefern.
Vom Verzicht auf Positionen bei florierenden Technologie-Startups bis hin zum Verlassen erfolgreicher Unternehmen - der Wunsch, finanzielle Privatsphäre Wirklichkeit werden zu lassen, hat alle im Team zusammengebracht, um das gleiche Ziel zu verfolgen.
Wenn Sie sofort alle in Gefahr sehen und wissen, dass Sie und andere jahrelange harte Arbeit geleistet haben, haben Sie ein unbeschreibliches Gefühl.
Aber die Entwickler arbeiteten buchstäblich, bis die Arbeit erledigt war, kein Schlaf, keine Ausfallzeiten, keine Ruhe. Das tägliche Teammeeting war wie ein Kriegsraum, mit einem laserfokussierten Orientierungssinn und Zweck, den ich nicht beschreiben kann.
Und während wir wütend daran arbeiteten, wie wir das Problem lösen würden, war ich unheimlich zuversichtlich, dass wir es tun würden.
Denn obwohl der Hacker sehr geschickt war, wusste ich, dass der Antrieb des Teams, das Projekt am Laufen zu halten und die finanzielle Privatsphäre Wirklichkeit werden zu lassen, die Situation überwinden würde.
Gemeinschaft, Zusammenarbeit und Gegenangriff
Die Antwort auf den Hack musste und war schnell, präzise und bewusst.
Zuerst kontaktierte unser Kernteam alle Austauschpartner (einschließlich KuCoin, Binance, TradeOgre und Bittrex) und forderte die Börsen auf, die XHV-Geldbörsen zu schließen. Dies wurde getan, um zu verhindern, dass der Angreifer eine unbekannte Menge XHV aus der Erstellung der betrügerischen xAssets einzahlt und verkauft.
Als nächstes ergriff das Team die unvermeidliche und zugegebenermaßen extreme Maßnahme, einen Aspekt des Protokolls zu deaktivieren, der für Konversionsmetriken verantwortlich ist - dieser Schritt stoppte im Wesentlichen die Möglichkeit, dass weitere Gelder umgewandelt und abgehoben werden konnten.
Während der Hacker in unserer Mitte Zweifel säte (und ja, Sie können immer noch das eigentliche Gespräch zwischen dem Hacker und einem unserer Kernteammitglieder hier nachlesen), war die Community in ständiger Diskussion mit dem Team.
In dem Wissen, dass der Hacker immer noch eine Abstimmung beeinflussen könnte, um die weitere Nutzung oder den Austausch gefälschter Token zu ermöglichen, musste das Projekt der Community immer noch wichtige Entscheidungen anvertrauen. Es wurde eine Abstimmung darüber vorgeschlagen, wie mit dem Hack umgegangen werden soll und wie die Millionen an gestohlenen Vermögenswerten wiederhergestellt werden sollen.
Mit überwältigender Unterstützung stimmte die Community einem vollständigen Rollback auf eine Blockhöhe vor dem Angriff zu, wobei viele Mitglieder kurzfristige Gewinne für die langfristige Vision des Projekts opferten.
Das Rollback hat Transaktionen, die nach dem Angriff stattfanden, im Wesentlichen rückgängig gemacht, aber aufgrund der schnellen und entschlossenen Maßnahmen, die ergriffen wurden, um die Verwendung des Protokolls zu Beginn des Hacks einzuschränken, half es dem Projekt, Millionen mit begrenzten Auswirkungen auf die Inhaber zurückzugewinnen.
Warum ist das alles wichtig, warum so hart gegen einen Angriff kämpfen?
Ultimativ, weil Privatsphäre wichtig ist.
"Zu argumentieren, dass dir die Privatsphäre egal ist, weil du nichts zu verbergen hast, ist nichts anderes, als zu sagen, dass dir die Redefreiheit egal ist, weil du nichts zu sagen hast." - Edward Snowden
Es ist wichtig, weil es dir erlaubt, frei zu denken. Es ist wichtig, weil es Ihnen erlaubt, eine Religion oder Weltanschauung zu wählen, mit der Sie sich verbinden. Es ist wichtig, weil es Ihnen ermöglicht, Ihre finanziellen Vermögenswerte, Ausgaben oder Einsparungen so zu kontrollieren, wie es für Sie oder Ihre Familie am besten ist.
Kryptowährung hat immer das Versprechen gehalten, eine private finanzielle Zukunft zu liefern. In der Lage zu sein, Ihr finanzielles Vermögen privat zu halten, egal wie groß oder klein, sollte Ihr Recht und Ihre Fähigkeit sein, wenn Sie dies wünschen.
Und obwohl dies etwas ist, was viele sagen werden, dass Monero es bietet, erlaubt es Ihnen nur, privat zu handeln - nicht Ihr Vermögen in einer stabilen, unerschütterlichen Form zu halten. Privatsphäre zu bieten, ohne den Höhen und Tiefen des Marktes unterworfen zu sein, ist etwas, das zu diesem Zeitpunkt nur Haven bietet.
Die Weiterentwicklung dieses Hacks erforderte viel Lernen und viele Verbesserungen an unserem Prozess.
Hafen 2.0, Lektionen gelernt
Wie jedes kleine Team mit blitzschnellem Wachstum bezeugen kann, werden manchmal Fehler gemacht, wenn es schnell wächst. Wir erkannten, dass Änderungen vorgenommen werden mussten, um stark voranzukommen und aus einem 50-Millionen-Dollar-Hack zu lernen, der das Projekt fast zerstört hätte.
Das erste ist, dass die Macht und Unterstützung der Gemeinschaft jetzt in weitaus größerem Maße genutzt wird. Mit Bug-Bounty-Programmen (im Wert von bis zu 100.000 US-Dollar) und verbesserter Kommunikation ist die Community maßgeblich daran beteiligt, das Projekt zu finden, zu lösen und zusammenzuarbeiten.
Zusätzlich wurden neue Validierungsmethoden eingeführt, zusammen mit der vollständigen Überarbeitung und Überarbeitung der Haven-Codebasis durch unser Kernteam - ein Aspekt, der bei Peer Review, Auditing und zukünftiger Protokollentwicklung hilfreich ist. Wichtig ist, dass dieser Schritt das Potenzial für einen weiteren Angriff mithilfe der Angriffsfläche, die das Projekt in diese Position gebracht hat, vollständig beseitigt.
Und schließlich haben unsere Kernentwickler weltbekannte 3rd-Party-Experten für Kryptographie und Monero eingesetzt, um neuen Code zu validieren und zu testen, der bereitgestellt wird. Das Team beauftragte CypherStack mit der Prüfung sowohl der Mint- als auch der Burn-Validierungsmathematik und des neuen Codes.
Da sich die Welt so schnell verändert, glauben wir, dass Haven 2.0 die Zukunft des privaten Geldes sein und den Sieg für die finanzielle Privatsphäre bringen kann, nach dem wir alle suchen sollten.
Aber um es zu bauen, ist eines klar: Ein privates, stabiles und belastbares Protokoll braucht ein starkes Team und den Input und die Unterstützung einer konkurrenzlosen Community.
Bio:
AHawk entdeckte das Haven-Protokoll im Jahr 2018 und ist seit 2019 Community-Leiter des Projekts. Als Krypto-Investor und Enthusiast glaubt er, dass das Konzept eines Monero-basierten privaten Stablecoin-Ökosystems in den kommenden Jahren die Art und Weise, wie Menschen ihre finanzielle Privatsphäre schützen und mit Krypto interagieren, wirklich revolutionieren wird. Sie können mehr über das Haven-Protokoll und die Community erfahren, indem Sie hier gehen: https://havenprotocol.org/