ヘイブンプロトコルの+$50m暗号ハックへの対応と回復-インサイドストーリー
これはAHawkによるゲスト投稿です。 AHawkは2018年にHaven Protocolを発見し、2019年からプロジェクトのコミュニティリーダーを務めています。 暗号投資家であり愛好家である彼は、Moneroベースのプライベートステーブルコインのエコシステムの概念は、人々が金融プライバシーを保護し、今後数年間で暗号と対話する方法に本当に革命を起こすと信じています。
何てことだ!... 何があったの?
それはすべての開発者の最悪の悪夢です。 暗号プロジェクトは地獄です。
ほとんどの普通の人が眠っている朝の早い時間に、この小さなコアチームはブレークネックスピードで働いていました。
コアチーム全体が、プロトコルで発生したエクスプロイトについて知ったばかりであり、財務への影響を最小限に抑えるために、時計との戦いでした。
超人的な応答時間と完全なパッチが8時間未満であれば、エクスプロイトはほぼ完全に停止されます。 しかし、それは野生のガチョウの追跡、彼らの真っ只中のハッカー、そして大規模な初期の財政的損失なしではありませんでした。
これは、小さな専用チーム、コミュニティ、および最初に損害賠償で+5 50-百万以上の費用がかかるハックの実話です。
これはヘイブンハックの話であり、私はそれがどのようなものだったかを内側からお伝えします。
裏話
それは質問から始まりました。 多くの暗号投資家が見落としているものの1つですが、考慮することが重要です。 私が最初にこの質問をし始めたのは、2017年の初めに暗号通貨に投資し始めたときです:
ボラティリティとプライバシーの両方の観点から取引利益を保護したい場合は、どうすればよいですか?
おそらくあなたは新しい発見された富を持っていて、詐欺師や極悪非道な俳優の標的になりたくないでしょう。
おそらく、あなたは暗号通貨が違法、禁止、または積極的に標的とされている国に住んでいます。
あるいは、あなたは、あなたやあなたの家族のために富を維持したり構築したりする能力を排除して、苦労して稼いだ収入をどのように使うかを制御したい、しようとした、または計画している政府の下に住んでいるかもしれません。
プライバシーのためのあなたのドライブの背後にある理由は異なる場合がありますが、質問はまだ残っています。 市場の不安定さからあなたの財政的利益を保護しながら、どのようにあなたのプライバシーを維持しますか?
冷蔵財布は方程式の一部にすぎません。 ブロックチェーン上のレコードとアドレスは不変であり、チェーン上で永遠に固定されているため、それらすべてを活用して膨大な量の情報を明らかにすることができます。
また、金融の安定性の観点からは、テザーのような安定したコインが必要に応じて口座を凍結する可能性があることがますます明らかになっています。一方、ステーブルコインとドルの実際の1:1比率の不確実性を回避しています。
大規模なハイテク企業や政府が、最終的に金融領域に入るすべての普及した監視に向かって動いていることは明らかであり、私たちが選択したよう
現実の世界でのプライバシーは、常に私の懸念されています。 暗号の世界のプライバシーは決して違いはありませんでした。 しかし、それは(最近まで)解決されたことはありません。
暗号通貨の世界に飛び込むことは、それが魅力的であったとしても、このしつこい質問を私に残しました。 これは私を導いたものです ヘブン 初期の2018年のプロトコルプロジェクト。
攻撃の朝、3.5年近くの骨の折れる作業の後、このハックは私たちが戦ったすべてのものを破壊すると脅しました。
1つではなく、2つの攻撃ポイント
コアが登場したのは2021年4月上旬でした ヘブン チームは、プロジェクトを真に分散化し、コミュニティによって完全に実行するための長期的なビジョンを概説しました。 これは常に優先事項であったものでした。
この時までに、成長しているコミュニティはすでに発展しており、Havenネットワーク上の新しい民間合成資産の立ち上げはすぐ近くにありました。
しかし、ヘイブンの合成、プライバシーに焦点を当てた安定したコインの最初の打ち上げ後わずか一ヶ月、ハックが起こった。
6月23日の朝、私たちのコアチームは、悪意のあるマイナーがマイナー報酬検証コードの未知の脆弱性を利用するためにコードを変更しようとしたことを発見しました。 コードを変更することにより、ハッカーは鉱山労働者のために合法的にはなかったより実質的な鉱山報酬を作成することができるでしょう。
同じ日にパッチがロールアウトされ、悪用が使用できなくなったが、これによりチームはハッカーによって二度悪用された別の脆弱性を発見した。 その結果、何十万もの偽造安定資産が鋳造され、パートナーの取引所でxhv(Haven Protocol's token)の販売量が異常に高くなりました。
未チェックのままにしておくと、xassetsの未知の(そして潜在的に無制限の)インフレがプロトコルを死のスパイラルに送り込んだ可能性があります-XHVの価格を暴き、何年ものハードワークをリセットします。
巨大な圧力
Havenのようなコミュニティ運営の組織では、人々はより大きなアイデアに貢献するためにすべての人生の歩みから一緒に来ます。 その考えを前進させるために。財務プライバシーの概念は、ヘイブンチームを団結させ、コアチームの誰もがプロジェクトに道を譲り、個人的な目標と野心を犠牲にして、すべての人に深遠な結果をもたらすものを提供しました。
繁栄しているハイテクスタートアップでの前述のポジションから、成功したビジネスを離れることまで、金融プライバシーが現実になるのを見たいという願望は、チームの全員が同じ目標を追求するために一緒になってきました。
あなたと他の人が何年もの努力をしてきたことを知っている間、すべての危険にさらされているのを一瞬で見ることは、あなたに言葉では言い表せないほどの沈みゆく感覚を与えます。
しかし、開発者は文字通り仕事が完了するまで働いていた、睡眠、ダウンタイム、休息はありませんでした。 毎日のチームミーティングは、私が説明し始めることができない方向性と目的のレーザー焦点の感覚で、戦争室のようでした。
そして、私たちが問題をどのように解決するかを猛烈に検討している間、私は不気味に自信を持っていました。
ハッカーは非常に熟練していましたが、プロジェクトを継続し、財政的プライバシーを実現するためのチームのドライブは、私が状況を克服することを知
コミュニティ、コラボレーション、およびカウンター攻撃
ハックへの対応は、迅速で正確で意図的でなければならず、迅速でなければなりませんでした。
まず、私たちのコアチームは、すべての交換パートナー(KuCoinを含む)に連絡しました, バイナンス、TradeOgre、およびBittrex)と取引所がXHV財布を閉じることを要求しました。 これは、攻撃者が不正なxAssetsの作成から未知の量のXHVを堆積させて販売するのを防ぐために行われました。
次に、チームは、コンバージョンメトリックを担当するプロトコルの側面を無効にするという避けられない、確かに極端な措置を講じました。この動きは、これ以上の資金が変換されて撤回される可能性を本質的に止めました。
ハッカーが疑いの種を蒔いている中で(そして、はい、ハッカーと私たちのコアチームメンバーの一人の間の実際の会話をここで読むことができます)、コミュニティはチームと絶え間なく議論していました。
ハッカーが偽造トークンのさらなる搾取や交換を可能にするために投票に影響を与える可能性があることを知っていたため、プロジェクトは依然として重要な決定でコミュニティを信頼する必要がありました。 ハックに対処し、盗まれた資産の何百万人もの回復を支援する方法についての投票が提案されました。
圧倒的な支持を得て投票されたコミュニティは、攻撃の前にブロックハイトに完全にロールバックすることに同意し、多くのメンバーがプロジェクトの長期的なビジョンのために短期的な利益を犠牲にしました。
ロールバックは、攻撃後に発生したトランザクションを本質的に逆転させましたが、ハックの初期段階でプロトコルの使用を制限するために取られた迅速かつ決定的な行動のために、プロジェクトが保有者への影響が限られている数百万人を回復するのに役立ちました。
なぜそれがすべて重要なのですか、なぜ攻撃に対してそれほど激しく戦うのですか?
プライバシーが重要なので、究極。
「隠すものが何もないのでプライバシーを気にしないと主張することは、何も言うことがないので言論の自由を気にしないと言うことと変わらない。-エドワード-スノーデン
それはあなたが自由に考えることを可能にするので、それは重要です。 それはあなたが接続する宗教や信念を選択することができますので、それは重要です。 それはあなたがあなたやあなたの家族のために最善の方法であなたの金融資産、支出や貯蓄を制御することができますので、それは重要です。
暗号通貨は、常に民間の財政的未来を実現するという約束を果たしてきました。 あなたの財政の富を個人的に保持できることは、どんなに大きくても小さくても、あなたがそう選ぶならば、あなたの権利と能力であるべきです。
そして、これは多くの人がMoneroが提供すると言うものですが、それはあなたが個人的に取引することを可能にするだけです-安定した揺るぎない形であ 市場の浮き沈みにさらされることなくプライバシーを提供することは、この時点では、唯一の避難所が提供するものです。
このハックから前進するには、多くの学習が必要であり、プロセスに多くの改善が必要です。
ヘブン2.0、教訓
雷の速い成長を持つ小さなチームが証明することができるように、時々、急速に成長するとき、間違いが作られます。 私たちは、強力な方法で前進し、プロジェクトをほぼ粉砕した+$50-millionハックから学ぶためには、変更を行う必要があることを認識しました。
一つ目は、コミュニティの力とサポートが今でははるかに大きく活用されているということです。 バグ報奨金プログラム(最大1 100,000相当)が導入され、コミュニケーションが改善されたことで、コミュニティはプロジェクトを構築するために一緒に見つけ、解決し、協力する上でより尽力しています。
さらに、コアチームによるHavenコードベースの完全なオーバーホールとリファクタリングとともに、新しい検証方法が導入されました。これは、ピアレビュー、監査、および将来のプロトコル開発に役立つ側面です。 重要なことに、このステップは、プロジェクトをこの位置に持っていた攻撃面を使用して別の攻撃の可能性を完全に削除します。
そして最後に、私たちのコア開発者は、展開されている新しいコードを検証し、テストするために、暗号化とMoneroの世界的に有名なサードパーティの専門家を活用しています。 チームは、MintとBurnの両方の検証数学と新しいコードの監査のためにCypherStackと契約しました。
このような急速なペースで変化する世界では、Haven2.0は民間資金の未来になる可能性があり、私たち全員が探しているべき金融プライバシーの勝利を提供
しかし、それを構築するためには、一つのことは明らかです:プライベート、安定した、そして弾力性のあるプロトコルは、強力なチームと比類のないコミュ
バイオ:
AHawkは2018年にHaven Protocolを発見し、2019年からプロジェクトのコミュニティリーダーを務めています。 暗号投資家であり愛好家である彼は、Moneroベースのプライベートステーブルコインのエコシステムの概念は、人々が金融プライバシーを保護し、今後数年間で暗号と対話する方法に本当に革命を起こすと信じています。 Havenプロトコルとコミュニティの詳細については、こちらをご覧ください: https://havenprotocol.org/