Répondre et se remettre d'un piratage cryptographique de plus de 50 millions de dollars du protocole Haven - L'histoire de l'intérieur

Ceci est un article invité d'AHawk. AHawk a découvert le protocole Haven en 2018 et est un leader communautaire pour le projet depuis 2019. En tant qu'investisseur et passionné de crypto, il pense que le concept d'un écosystème de pièces stables privées basé sur Monero révolutionnera vraiment la façon dont les gens protègent leur vie privée financière et interagissent avec la crypto dans les années à venir. 

 

Oh Non... Qu'Est-Ce Qui Vient De Se Passer?

C'est le pire cauchemar de tous les développeurs. L'enfer d'un projet crypto. 

Aux petites heures du matin, lorsque la plupart des gens normaux dormaient, cette petite équipe de base travaillait à une vitesse folle.

Toute l'équipe principale venait d'apprendre qu'un exploit s'était produit sur leur protocole, et c'était une course contre la montre pour minimiser l'impact financier. 

Avec un temps de réponse herculéen et un correctif complet en moins de 8 heures, l'exploit serait presque complètement arrêté. Mais ce n'était pas sans une chasse à l'oie sauvage, un pirate informatique au milieu d'eux et une perte financière initiale massive.

C'est l'histoire vraie d'une petite équipe dévouée, d'une communauté et d'un piratage qui a initialement coûté plus de 50 millions de dollars de dommages et intérêts. 

C'est l'histoire du piratage de Haven, et je vais vous raconter comment c'était, de l'intérieur.

Histoire de fond

Cela a commencé par une question. Celui que de nombreux crypto-investisseurs négligent, mais qu'il est essentiel de prendre en compte. J'ai commencé à me poser cette question lorsque j'ai commencé à investir dans la crypto-monnaie au début de 2017:

Si vous vouliez protéger vos gains de trading à la fois de la volatilité et du point de vue de la confidentialité, comment le feriez-vous?

Peut-être que vous avez de nouvelles richesses et que vous ne voulez pas devenir la cible d'escrocs ou d'acteurs néfastes. 

Peut-être vivez-vous dans un pays où la crypto-monnaie est illégale, interdite ou activement ciblée.

Ou peut - être vivez-vous sous un gouvernement qui veut, a essayé ou pourrait planifier de contrôler la façon dont vous dépensez votre revenu durement gagné, éliminant ainsi votre capacité à préserver ou à créer de la richesse pour vous ou votre famille.

La raison de votre désir de confidentialité peut varier, mais la question demeure. Comment préservez-vous votre vie privée, tout en protégeant vos gains financiers de l'instabilité du marché?

Un portefeuille frigorifique n'est qu'une partie de l'équation. Comme les enregistrements et les adresses sur la blockchain sont immuables et fixés à jamais sur la chaîne, ils peuvent tous être exploités pour découvrir une grande quantité d'informations.

Et du point de vue de la stabilité financière, il est devenu de plus en plus clair que des pièces stables comme Tether peuvent geler des comptes si nécessaire, contournant entre-temps l'incertitude des ratios réels 1:1 entre stablecoin et dollars.

Il est clair que les grandes entreprises technologiques et les gouvernements s'orientent vers une surveillance omniprésente qui finira par entrer dans le domaine financier-menaçant notre capacité à effectuer librement des transactions à notre guise.

La vie privée dans le monde réel a toujours été une de mes préoccupations. La confidentialité dans le monde de la cryptographie n'a jamais été différente. Et pourtant, il n'a jamais (jusqu'à récemment) été résolu.

Plonger dans le monde de la crypto-monnaie, aussi fascinant soit-il, me laissait encore avec cette question lancinante. C'est ce qui m'a conduit à la Havre Projet de protocole début 2018.

Le matin de l'attaque, après près de 3,5 ans de travail minutieux, ce piratage menaçait de détruire tout ce pour quoi nous nous étions battus.

Pas Un, Mais Deux Points d'Attaque

C'était début avril 2021, lorsque le noyau Havre l'équipe a présenté une vision à long terme pour rendre le projet véritablement décentralisé et entièrement géré par la communauté. C'était quelque chose qui avait toujours été une priorité. 

À ce moment - là, une communauté grandissante s'était déjà développée et le lancement de nouveaux actifs synthétiques privés sur le réseau Haven était imminent. 

Mais seulement un mois après le lancement initial des pièces stables synthétiques et axées sur la confidentialité de Haven, le piratage s'est produit. 

Le matin du 23 juin, notre équipe principale a découvert qu'un mineur sans scrupules avait tenté de modifier le code - cherchant à tirer parti d'une vulnérabilité inconnue dans notre code de validation de récompense de mineur. En modifiant le code, le pirate serait en mesure de créer des récompenses minières plus substantielles qui n'étaient pas légitimement dues au mineur.

Alors que des correctifs ont été déployés le même jour et que l'exploit a été rendu inutilisable, cela a conduit l'équipe à découvrir une autre vulnérabilité qui avait été exploitée à deux reprises par le pirate informatique. L'effet qui en a résulté a été que des centaines de milliers d'actifs stables contrefaits ont été frappés, ce qui a entraîné un volume de vente inhabituellement élevé de XHV (jeton du protocole Haven) sur les échanges de nos partenaires.

Si rien n'était fait, l'inflation inconnue (et potentiellement illimitée) des xAssets aurait pu envoyer le protocole dans une spirale mortelle - faisant chuter le prix du XHV et réinitialisant des années de dur labeur.

Pression Immense

Dans une organisation gérée par la communauté comme Haven, des personnes de tous horizons se réunissent pour contribuer à une idée plus large. Pour faire avancer cette idée.Le concept de confidentialité financière unit l'équipe Haven, tous les membres de l'équipe principale ont cédé la place au projet, sacrifiant leurs objectifs personnels et leurs ambitions pour offrir quelque chose avec des conséquences profondes pour tous. 

Qu'il s'agisse de renoncer à des postes dans des startups technologiques florissantes ou de quitter des entreprises prospères, le désir de voir la confidentialité financière devenir une réalité a réuni tous les membres de l'équipe pour poursuivre le même objectif.

Voir tout en danger en un instant, tout en sachant que vous et les autres avez mis des années de dur labeur, vous donne un sentiment de naufrage indescriptible.

Mais les développeurs travaillaient littéralement jusqu'à ce que le travail soit terminé, pas de sommeil, pas de temps mort, pas de repos. La réunion quotidienne de l'équipe était comme une salle de guerre, avec un sens de l'orientation et un objectif focalisés au laser que je ne peux pas commencer à décrire.

Et pendant que nous cherchions furieusement comment résoudre le problème, j'étais étrangement confiant que nous le ferions.

Parce que même si le pirate informatique était très compétent, la volonté de l'équipe de poursuivre le projet, de faire de la confidentialité financière une réalité, était quelque chose dont je savais qu'elle surmonterait la situation.

Communauté, Collaboration et Contre-attaque

La réponse au piratage devait être rapide, précise et délibérée. 

Tout d'abord, notre équipe principale a contacté tous les partenaires d'échange (y compris KuCoin, Compte Binance, TradeOgre et Bittrex) et a demandé aux bourses de fermer les portefeuilles XHV. Cela a été fait pour empêcher l'attaquant de déposer et de vendre une quantité inconnue de XHV à partir de la création des xAssets frauduleux.

Ensuite, l'équipe a pris la mesure inévitable et certes extrême de désactiver un aspect du protocole responsable des mesures de conversion - cette décision a essentiellement stoppé la possibilité que d'autres fonds soient convertis et retirés.

Avec le hacker au milieu de nous semant des graines de doute (et oui, vous pouvez toujours lire la conversation réelle entre le hacker et l'un des membres de notre équipe principale ici), la communauté était en constante discussion avec l'équipe.

Sachant que le pirate informatique pouvait encore influencer un vote pour permettre une exploitation ou un échange ultérieur de jetons contrefaits, le projet devait encore faire confiance à la communauté pour prendre des décisions importantes. Un vote a été proposé sur la manière de traiter le piratage et d'aider à récupérer les millions d'actifs volés.

Votée avec un soutien écrasant, la communauté a accepté un retour complet à une hauteur de bloc avant l'attaque, de nombreux membres sacrifiant les gains à court terme pour la vision à long terme du projet. 

La restauration a essentiellement inversé les transactions survenues après l'attaque, mais en raison des mesures rapides et décisives prises pour limiter l'utilisation du protocole au début du piratage, elle a aidé le projet à récupérer des millions avec un impact limité sur les détenteurs.

Pourquoi Tout Cela Est-Il Important, Pourquoi Se Battre Si Fort Contre Une Attaque?

Ultime parce que la vie privée compte. 

"Affirmer que vous ne vous souciez pas de la vie privée parce que vous n'avez rien à cacher n'est pas différent de dire que vous ne vous souciez pas de la liberté d'expression parce que vous n'avez rien à dire."- Edward Neige

C'est important parce que cela vous permet de penser librement. C'est important parce que cela vous permet de choisir une religion ou une croyance avec laquelle vous vous connectez. C'est important parce que cela vous permet de contrôler vos actifs financiers, vos dépenses ou votre épargne de la manière qui vous convient le mieux, à vous ou à votre famille.

La crypto-monnaie a toujours tenu la promesse d'un avenir financier privé. Être en mesure de détenir votre patrimoine financier en privé, peu importe sa taille, devrait être votre droit et votre capacité si vous le souhaitez.

Et bien que ce soit quelque chose que beaucoup diront que Monero fournit, cela vous permet uniquement d'effectuer des transactions en privé - et non de conserver vos actifs sous une forme stable et inébranlable. Offrir de la confidentialité sans être soumis aux hauts et aux bas du marché est quelque chose que seul Haven offre à l'heure actuelle.

Aller de l'avant à partir de ce hack a nécessité beaucoup d'apprentissage et de nombreuses améliorations de notre processus.

Haven 2.0, Leçons apprises

Comme toute petite équipe avec une croissance fulgurante peut en témoigner, parfois, lors d'une croissance rapide, des erreurs sont commises. Nous avons reconnu que pour aller de l'avant de manière solide et tirer les leçons d'un piratage de plus de 50 millions de dollars qui a presque écrasé le projet, des changements devraient être apportés.

La première est que le pouvoir et le soutien de la communauté sont maintenant mis à profit dans une bien plus grande mesure. Avec des programmes de primes aux bogues en place (d'une valeur maximale de 100 000$) et une communication améliorée, la communauté joue un rôle plus déterminant dans la recherche, la résolution et la collaboration pour construire le projet.

De plus, de nouvelles méthodes de validation ont été mises en place, parallèlement à la refonte complète et à la refactorisation de la base de code Haven par notre équipe centrale - un aspect qui facilite l'examen par les pairs, l'audit et le développement futur du protocole. Il est important de noter que cette étape supprime complètement le potentiel d'une autre attaque utilisant la surface d'attaque qui a amené le projet dans cette position.

Enfin, nos principaux développeurs ont fait appel à des experts tiers de renommée mondiale en cryptographie et en Monero pour valider et tester le nouveau code déployé. L'équipe a passé un contrat avec CypherStack pour la vérification des mathématiques de validation Mint et Burn et du nouveau code.

Avec le monde qui change à un rythme aussi rapide, nous pensons que Haven 2.0 peut être l'avenir de l'argent privé et peut offrir la victoire pour la confidentialité financière que nous devrions tous rechercher. 

Mais pour le construire, une chose est claire: un protocole privé, stable et résilient a besoin d'une équipe solide et de l'apport et du soutien d'une communauté inégalée. 

Bio:

AHawk a découvert le protocole Haven en 2018 et est un leader communautaire pour le projet depuis 2019. En tant qu'investisseur et passionné de crypto, il pense que le concept d'un écosystème de pièces stables privées basé sur Monero révolutionnera vraiment la façon dont les gens protègent leur vie privée financière et interagissent avec la crypto dans les années à venir. Vous pouvez en apprendre plus sur le protocole Haven et la communauté en allant ici: https://havenprotocol.org/