Rispondere e recuperare da un protocollo crypto hack of Haven di +5 50m - The Inside Story

Questo è un guest post di AHawk. AHawk ha scoperto il protocollo Haven nel 2018 ed è leader della comunità per il progetto dal 2019. Come investitore e appassionato di criptovalute, crede che il concetto di un ecosistema privato di stablecoin basato su Monero rivoluzionerà davvero il modo in cui le persone proteggono la loro privacy finanziaria e interagiscono con le criptovalute negli anni a venire. 

 

Oh no... Cos'e ' successo?

È il peggior incubo di ogni sviluppatore. Un progetto crittografico è un inferno. 

Nelle prime ore del mattino, quando la maggior parte delle persone normali dormiva, questo piccolo nucleo di squadra stava lavorando a una velocità di rottura del collo.

L'intero team di base aveva appena appreso di un exploit che si era verificato sul loro protocollo, ed è stata una corsa contro il tempo per ridurre al minimo l'impatto finanziario. 

Con un tempo di risposta erculeo e una patch completa in meno di 8 ore, l'exploit sarebbe quasi completamente fermato. Ma non è stato senza una caccia all'oca selvaggia, un hacker in mezzo a loro e una massiccia perdita finanziaria iniziale.

Questa è la vera storia di un piccolo team dedicato, una comunità e un hack che inizialmente è costato oltre 50 milioni di dollari di danni. 

Questa è la storia dell'Hack di Haven, e ti dirò com'era, dall'interno.

Retroscena

È iniziato con una domanda. Uno che molti cripto-investitori trascurano, ma è fondamentale da considerare. Ho iniziato a farmi questa domanda quando ho iniziato a investire in criptovaluta all'inizio del 2017:

Se volessi proteggere i tuoi guadagni di trading sia dalla volatilità che dal punto di vista della privacy,come lo faresti?

Forse hai trovato nuova ricchezza e non vuoi diventare un bersaglio per truffatori o attori nefandi. 

Forse vivi in un paese in cui la criptovaluta è illegale, vietata o presa di mira attivamente.

O forse vivi sotto un governo che vuole, ha provato a, o potrebbe pianificare di controllare come spendi il tuo reddito duramente guadagnato - eliminando la tua capacità di preservare o costruire ricchezza per te o la tua famiglia.

Il motivo dietro la vostra unità per la privacy può variare, ma la domanda rimane ancora. Come si fa a mantenere la vostra privacy, proteggendo i vostri guadagni finanziari dall'instabilità del mercato?

Un portafoglio di celle frigorifere è solo una parte dell'equazione. Poiché i record e gli indirizzi sulla blockchain sono immutabili e fissati per sempre sulla catena, possono essere sfruttati per scoprire una grande quantità di informazioni.

E dal punto di vista della stabilità finanziaria, è diventato sempre più chiaro che monete stabili come Tether possono congelare i conti se necessario, nel frattempo aggirando l'incertezza degli effettivi rapporti 1:1 tra stablecoin e dollari.

È chiaro che le grandi aziende tecnologiche e i governi si stanno muovendo verso una sorveglianza pervasiva che alla fine entrerà nel regno finanziario, minacciando la nostra capacità di negoziare liberamente come vogliamo.

La privacy nel mondo reale è sempre stata una mia preoccupazione. La privacy nel mondo cripto non è mai stata diversa. Eppure non è mai stato risolto (fino a poco tempo fa).

Immergermi nel mondo della criptovaluta, affascinante com'era, mi ha comunque lasciato con questa domanda fastidiosa. Che è ciò che mi ha portato alla Rifugio Progetto di protocollo all'inizio del 2018.

La mattina dell'attacco, dopo quasi 3,5 anni di lavoro scrupoloso, questo hack ha minacciato di distruggere tutto ciò per cui avevamo combattuto.

Non uno, ma due punti di attacco

Era l'inizio di aprile 2021, quando il nucleo Rifugio il team ha delineato una visione a lungo termine per rendere il progetto veramente decentralizzato e gestito interamente dalla comunità. Questo era qualcosa che era sempre stata una priorità. 

A questo punto, una comunità in crescita si era già sviluppata e il lancio di nuove risorse sintetiche private sulla rete Haven era proprio dietro l'angolo. 

Ma solo un mese dopo il lancio iniziale delle monete stabili sintetiche e incentrate sulla privacy di Haven, l'hack è avvenuto. 

La mattina del 23 giugno, il nostro team principale ha scoperto che un minatore senza scrupoli aveva tentato di modificare il codice, cercando di sfruttare una vulnerabilità sconosciuta nel nostro codice di convalida minatore. Modificando il codice, l'hacker sarebbe in grado di creare ricompense minerarie più sostanziali che non erano legittimamente dovute al minatore.

Mentre le patch sono state implementate lo stesso giorno e l'exploit è stato reso inutilizzabile, questo ha portato il team a scoprire un'altra vulnerabilità che era stata sfruttata due volte dall'hacker. L'effetto risultante è stato che sono state coniate centinaia di migliaia di attività stabili contraffatte, con conseguente volume di vendita insolitamente elevato di XHV (token del protocollo Haven) sugli scambi dei nostri partner.

Se lasciato incontrollato, l'inflazione sconosciuta (e potenzialmente illimitata) di xAssets avrebbe potuto mandare il protocollo in una spirale mortale - schiantando il prezzo di XHV e ripristinando anni di duro lavoro.

Pressione immensa

In un'organizzazione gestita dalla comunità come Haven, le persone si riuniscono da tutti i ceti sociali per contribuire a un'idea più ampia. Per portare avanti questa idea.Il concetto di privacy finanziaria unisce il team di Haven, tutti nel team principale hanno lasciato il posto al progetto, sacrificando obiettivi personali e ambizioni per offrire qualcosa con profonde conseguenze per tutti. 

Da posizioni precedenti in start - up tecnologiche fiorenti, a lasciare aziende di successo-il desiderio di vedere la privacy finanziaria diventare una realtà ha riunito tutti i membri del team per perseguire lo stesso obiettivo.

Vedere tutti a rischio in un istante, pur sapendo che tu e gli altri avete messo in anni di duro lavoro, ti dà una sensazione di affondamento che è indescrivibile.

Ma gli sviluppatori stavano letteralmente lavorando fino a quando il lavoro non è stato fatto, nessun sonno, nessun tempo libero, nessun riposo. La riunione quotidiana del team era come una stanza di guerra, con un senso di direzione e scopo focalizzato sul laser che non posso iniziare a descrivere.

E mentre stavamo lavorando furiosamente su come avremmo risolto il problema, ero stranamente fiducioso che lo avremmo fatto.

Perché anche se l'hacker era molto abile, la spinta del team a mantenere il progetto in corso, a rendere la privacy finanziaria una realtà, era qualcosa che sapevo avrebbe superato la situazione.

Comunità, collaborazione e contrattacco

La risposta all'hack doveva essere, ed è stata rapida, precisa e deliberata. 

Innanzitutto, il nostro team principale ha contattato tutti i partner di scambio (incluso KuCoin, Binance, TradeOgre e Bittrex) e ha chiesto che gli scambi chiudessero i portafogli XHV. Ciò è stato fatto per impedire all'attaccante di depositare e vendere una quantità sconosciuta di XHV dalla creazione degli XASSET fraudolenti.

Successivamente il team ha preso la misura inevitabile e certamente estrema di disabilitare un aspetto del protocollo responsabile delle metriche di conversione-questa mossa ha essenzialmente fermato il potenziale per ulteriori fondi da convertire e ritirare.

Con l'hacker in mezzo a noi che semina dubbi (e sì, puoi ancora leggere la vera conversazione tra l'hacker e uno dei membri del nostro team principale qui), la comunità era in costante discussione con il team.

Sapendo che l'hacker poteva ancora influenzare un voto per consentire un ulteriore sfruttamento o scambio di token contraffatti, il progetto aveva ancora bisogno di fidarsi della comunità con decisioni importanti. È stato proposto un voto su come affrontare l'hack e aiutare a recuperare i milioni di beni rubati.

Votata con un sostegno schiacciante, la comunità ha accettato un rollback completo a blockheight prima dell'attacco, con molti membri che sacrificano guadagni a breve termine per la visione a lungo termine del progetto. 

Il rollback ha sostanzialmente invertito le transazioni che si sono verificate dopo l'attacco, ma a causa dell'azione rapida e decisiva intrapresa per limitare l'uso del protocollo all'inizio dell'hack, ha aiutato il progetto a recuperare milioni con un impatto limitato sui titolari.

Perché importa tutto, perché combattere così duramente contro un attacco?

Ultimate perché la privacy conta. 

"Sostenere che non ti interessa la privacy perché non hai nulla da nascondere non è diverso dal dire che non ti interessa la libertà di parola perché non hai nulla da dire."- Edward Snowden

È importante perché ti permette di pensare liberamente. È importante perché ti permette di scegliere una religione o un credo con cui ti connetti. È importante perché ti consente di controllare le tue attività finanziarie, spendere o risparmiare in un modo che è meglio per te o la tua famiglia.

La criptovaluta ha sempre mantenuto la promessa di offrire un futuro finanziario privato. Essere in grado di tenere la vostra ricchezza finanziaria privatamente, non importa quanto grande o piccolo, dovrebbe essere il vostro diritto e la capacità, se lo si sceglie.

E mentre questo è qualcosa che molti diranno che Monero fornisce, ti consente solo di effettuare transazioni private, non di tenere i tuoi beni in una forma stabile e incrollabile. Offrire privacy senza essere soggetto agli alti e bassi del mercato, è qualcosa che a questo punto nel tempo, solo Haven offre.

Andare avanti da questo hack ha richiesto un sacco di apprendimento, e molti miglioramenti al nostro processo.

Haven 2.0, Lezioni apprese

Come può attestare qualsiasi piccola squadra con una crescita fulminea, a volte, quando si cresce rapidamente, si commettono errori. Abbiamo riconosciuto che per andare avanti in modo forte e imparare da un hack da 50 milioni di dollari che ha quasi schiacciato il progetto, dovevano essere apportate modifiche.

Il primo è che il potere e il sostegno della comunità sono ora sfruttati in misura molto maggiore. Con programmi di Bug Bounty in atto (fino a worth 100.000 di valore), e una migliore comunicazione, la comunità è più strumentale nel trovare, risolvere e lavorare insieme per costruire il progetto.

Inoltre, sono stati messi in atto nuovi metodi di convalida, insieme alla revisione completa e al refactoring del codice Haven del nostro team principale, un aspetto che aiuta con la revisione tra pari, l'auditing e lo sviluppo futuro del protocollo. È importante sottolineare che questo passaggio rimuove completamente il potenziale per un altro attacco utilizzando la superficie di attacco che ha portato il progetto in questa posizione.

E infine i nostri sviluppatori principali hanno sfruttato esperti di fama mondiale, 3rd party in crittografia e Monero, per convalidare e testare il nuovo codice che viene distribuito. Il team ha contratto CypherStack per l'audit sia della matematica di convalida Mint e Burn che del nuovo codice.

Con il mondo che cambia a un ritmo così rapido, crediamo che Haven 2.0 possa essere il futuro del denaro privato e possa fornire la vittoria per la privacy finanziaria che tutti dovremmo cercare. 

Ma per costruirlo, una cosa è chiara: un protocollo privato, stabile e resiliente ha bisogno di un team forte e dell'input e del supporto di una comunità senza rivali. 

Bio:

AHawk ha scoperto il protocollo Haven nel 2018 ed è leader della comunità per il progetto dal 2019. Come investitore e appassionato di criptovalute, crede che il concetto di un ecosistema privato di stablecoin basato su Monero rivoluzionerà davvero il modo in cui le persone proteggono la loro privacy finanziaria e interagiscono con le criptovalute negli anni a venire. Puoi saperne di più sul protocollo Haven e sulla comunità andando qui: https://havenprotocol.org/