Respondiendo y recuperándose de un hackeo criptográfico de + $50 millones del Protocolo Haven: La historia interna
Este es un post invitado de AHawk. AHawk descubrió Haven Protocol en 2018 y ha sido líder comunitario del proyecto desde 2019. Como inversionista y entusiasta de las criptomonedas, cree que el concepto de un ecosistema de moneda estable privada basado en Monero realmente revolucionará la forma en que las personas protegen su privacidad financiera e interactúan con las criptomonedas en los próximos años.
Oh No... ¿Qué Acaba De Pasar?
Es la peor pesadilla de cualquier desarrollador. El infierno de un proyecto criptográfico.
En las primeras horas de la mañana, cuando la mayoría de la gente normal estaría durmiendo, este pequeño equipo central estaba trabajando a una velocidad vertiginosa.
Todo el equipo central acababa de enterarse de un exploit que se había producido en su protocolo, y fue una carrera contrarreloj para minimizar el impacto financiero.
Con un tiempo de respuesta hercúleo y un parche completo en menos de 8 horas, el exploit se detendría casi por completo. Pero no fue sin una persecución salvaje, un hacker en medio de ellos y una pérdida financiera inicial masiva.
Esta es la historia real de un pequeño equipo dedicado, una comunidad y un hack que inicialmente costó más de$50 millones en daños.
Esta es la historia del Hackeo de Haven, y les voy a contar cómo fue, desde adentro.
Historia de Fondo
Empezó con una pregunta. Uno que muchos criptoinversores pasan por alto, pero que es fundamental tener en cuenta. Comencé a hacerme esta pregunta cuando comencé a invertir en criptomonedas a principios de 2017:
Si quisiera proteger sus ganancias comerciales tanto de la volatilidad como de la perspectiva de la privacidad, ¿cómo lo haría?
Tal vez haya encontrado una nueva riqueza y no quiera convertirse en un objetivo para estafadores o actores nefastos.
Tal vez viva en un país donde la criptomoneda es ilegal, prohibida o atacada activamente.
O tal vez vive bajo un gobierno que quiere, ha intentado o podría planear controlar cómo gasta sus ingresos duramente ganados, eliminando su capacidad de preservar o generar riqueza para usted o su familia.
La razón detrás de su impulso por la privacidad puede variar, pero la pregunta aún permanece. ¿Cómo mantiene su privacidad, al tiempo que protege sus ganancias financieras de la inestabilidad del mercado?
Una billetera de almacenamiento en frío es solo una parte de la ecuación. Como los registros y las direcciones en la cadena de bloques son inmutables y fijos para siempre en la cadena, todos pueden aprovecharse para descubrir una gran cantidad de información.
Y desde el punto de vista de la estabilidad financiera, se ha vuelto cada vez más claro que las monedas estables como Tether pueden congelar cuentas si es necesario, mientras que bordean la incertidumbre de las proporciones reales de 1:1 de moneda estable a dólares.
Está claro que las grandes empresas tecnológicas y los gobiernos se están moviendo hacia una vigilancia generalizada que eventualmente entrará en el ámbito financiero, amenazando nuestra capacidad de realizar transacciones libremente a nuestra elección.
La privacidad en el mundo real siempre ha sido una de mis preocupaciones. La privacidad en el mundo criptográfico nunca fue diferente. Y, sin embargo, nunca (hasta hace poco) se ha resuelto.
Sumergirse en el mundo de la criptomoneda, por fascinante que fuera, todavía me dejó con esta molesta pregunta. Que es lo que me llevó a la Refugio Proyecto de protocolo a principios de 2018.
En la mañana del ataque, después de casi 3,5 años de trabajo minucioso, este hackeo amenazó con destruir todo por lo que habíamos luchado.
No Uno, Sino Dos Puntos de Ataque
Fue a principios de abril de 2021, cuando el núcleo Refugio el equipo esbozó una visión a largo plazo para hacer que el proyecto fuera verdaderamente descentralizado y administrado en su totalidad por la comunidad. Esto era algo que siempre había sido una prioridad.
Para entonces, ya se había desarrollado una comunidad en crecimiento, y el lanzamiento de nuevos activos sintéticos privados en la red Haven estaba a la vuelta de la esquina.
Pero solo un mes después del lanzamiento inicial de las monedas estables sintéticas y centradas en la privacidad de Haven, el hack ocurrió.
En la mañana del 23 de junio, nuestro equipo central descubrió que un minero sin escrúpulos había intentado modificar el código, buscando aprovechar una vulnerabilidad desconocida en nuestro código de validación de recompensas para mineros. Al modificar el código, el hacker podría crear recompensas mineras más sustanciales que no se debían legítimamente al minero.
Si bien los parches se implementaron el mismo día y el exploit quedó inutilizable, esto llevó al equipo a descubrir otra vulnerabilidad que había sido explotada dos veces por el pirata informático. El efecto resultante fue que se acuñaron cientos de miles de activos estables falsificados, lo que resultó en el volumen de ventas inusualmente alto de XHV (token de Haven Protocol) en los intercambios de nuestros socios.
Si no se controla, la inflación desconocida (y potencialmente ilimitada) de xAssets podría haber enviado al protocolo a una espiral de muerte, rompiendo el precio de XHV y restableciendo años de arduo trabajo.
Inmensa Presión
En una organización dirigida por la comunidad como Haven, las personas se reúnen de todos los ámbitos de la vida para contribuir a una idea más amplia. Para impulsar esa idea.El concepto de privacidad financiera une al equipo de Haven, todos en el equipo central han cedido el paso al proyecto, sacrificando metas personales y ambiciones para entregar algo con profundas consecuencias para todos.
Desde puestos anteriores en nuevas empresas tecnológicas prósperas hasta dejar negocios exitosos, el deseo de ver que la privacidad financiera se convierta en una realidad ha unido a todos en el equipo para perseguir el mismo objetivo.
Ver todo en riesgo en un instante, sabiendo que usted y otros han trabajado arduamente durante años, le da una sensación de hundimiento que es indescriptible.
Pero los desarrolladores estaban literalmente trabajando hasta que el trabajo estaba hecho, sin dormir, sin tiempo de inactividad, sin descanso. La reunión diaria del equipo era como una sala de guerra, con un sentido de dirección y propósito enfocado en el láser que no puedo comenzar a describir.
Y mientras estábamos furiosamente resolviendo cómo resolveríamos el problema, estaba inquietantemente seguro de que lo haríamos.
Porque aunque el hacker era muy hábil, el impulso del equipo para mantener el proyecto en marcha, para hacer realidad la privacidad financiera, era algo que sabía que superaría la situación.
Comunidad, Colaboración y Contraataque
La respuesta al hackeo tenía que ser, y fue rápida, precisa y deliberada.
Primero, nuestro equipo central contactó a todos los socios de intercambio (incluido KuCoin, Binance, TradeOgre y Bittrex) y solicitó que los intercambios cerraran las billeteras XHV. Esto se hizo para evitar que el atacante depositara y vendiera una cantidad desconocida de XHV a partir de la creación de los xAssets fraudulentos.
A continuación, el equipo tomó la medida inevitable y ciertamente extrema de deshabilitar un aspecto del Protocolo responsable de las métricas de conversión: este movimiento esencialmente detuvo la posibilidad de que se convirtieran y retiraran más fondos.
Con el hacker entre nosotros sembrando semillas de duda (y sí, todavía puedes leer la conversación real entre el hacker y uno de los miembros principales de nuestro equipo aquí), la comunidad estaba en constante discusión con el equipo.
Sabiendo que el pirata informático aún podría influir en una votación para permitir una mayor explotación o intercambio de tokens falsificados, el proyecto aún necesitaba confiar en la comunidad con decisiones importantes. Se propuso una votación sobre cómo lidiar con el hackeo y ayudar a recuperar los millones en activos robados.
Votado con un apoyo abrumador, la comunidad acordó una reversión total a una altura de bloque antes del ataque, con muchos miembros sacrificando ganancias a corto plazo por la visión a largo plazo del proyecto.
La reversión esencialmente revirtió las transacciones que ocurrieron después del ataque, pero debido a la acción rápida y decisiva tomada para limitar el uso del protocolo al principio del ataque, ayudó al proyecto a recuperar millones con un impacto limitado para los titulares.
¿Por Qué Importa Todo, Por Qué Luchar Tan Duro Contra Un Ataque?
Ultimate porque la privacidad importa.
"Argumentar que no te importa la privacidad porque no tienes nada que ocultar no es diferente a decir que no te importa la libertad de expresión porque no tienes nada que decir."- Edward Snowden
Importa porque te permite pensar libremente. Es importante porque te permite elegir una religión o creencia con la que te conectas. Es importante porque le permite controlar sus activos financieros, gastar o ahorrar de la manera que sea mejor para usted o su familia.
La criptomoneda siempre ha tenido la promesa de ofrecer un futuro financiero privado. Ser capaz de mantener su patrimonio financiero en privado, sin importar cuán grande o pequeño sea, debe ser su derecho y capacidad si así lo desea.
Y aunque esto es algo que muchos dirán que Monero proporciona, solo le permite realizar transacciones de forma privada, no mantener sus activos en una forma estable e inquebrantable. Ofrecer privacidad sin estar sujeto a los altibajos del mercado, es algo que en este momento, solo Haven ofrece.
Avanzar a partir de este truco ha requerido mucho aprendizaje y muchas mejoras en nuestro proceso.
Haven 2.0, Lecciones aprendidas
Como cualquier equipo pequeño con un crecimiento ultrarrápido puede atestiguar, a veces, cuando se crece rápidamente, se cometen errores. Reconocimos que para avanzar de manera sólida y aprender de un hack de +$50 millones que casi aplastó el proyecto, se tendrían que hacer cambios.
La primera es que el poder y el apoyo de la comunidad ahora se aprovechan en un grado mucho mayor. Con programas de Recompensas por errores implementados (con un valor de hasta $100,000) y una comunicación mejorada, la comunidad es más instrumental para encontrar, resolver y trabajar juntos para construir el proyecto.
Además, se han implementado nuevos métodos de validación, junto con la revisión y refactorización completas de la base de código Haven por parte de nuestro equipo central, un aspecto que ayuda con la revisión por pares , la auditoría y el desarrollo futuro de protocolos. Es importante destacar que este paso elimina por completo la posibilidad de otro ataque utilizando la superficie de ataque que llevó al proyecto a esta posición.
Y, por último, nuestros desarrolladores principales han aprovechado expertos de renombre mundial en criptografía y Monero, para validar y probar el nuevo código que se implementa. El equipo contrató a CypherStack para la auditoría de las matemáticas de validación de Mint y Burn y el nuevo código.
Con el mundo cambiando a un ritmo tan rápido, creemos que Haven 2.0 puede ser el futuro del dinero privado y puede proporcionar la victoria para la privacidad financiera que todos deberíamos estar buscando.
Pero para construirlo, una cosa está clara: un protocolo privado, estable y resistente necesita un equipo sólido y el aporte y el apoyo de una comunidad sin igual.
Bio:
AHawk descubrió Haven Protocol en 2018 y ha sido líder comunitario del proyecto desde 2019. Como inversionista y entusiasta de las criptomonedas, cree que el concepto de un ecosistema de moneda estable privada basado en Monero realmente revolucionará la forma en que las personas protegen su privacidad financiera e interactúan con las criptomonedas en los próximos años. Puede obtener más información sobre el Protocolo Haven y la comunidad yendo aquí: https://havenprotocol.org/