헤이븐 프로토콜의+5 천만 달러 암호화 해킹에 응답하고 복구-내부 이야기
이 호크에 의해 게스트 게시물입니다. 아호크는 2018 년에 헤이븐 프로토콜을 발견했으며 2019 년부터 프로젝트의 커뮤니티 리더로 활동하고 있다. 암호화폐 투자자이자 애호가로서 그는 모네로 기반의 개인 스테이블코인 생태계의 개념이 앞으로 몇 년 동안 사람들이 금융 프라이버시를 보호하고 암호화폐와 상호 작용하는 방식에 진정으로 혁명을 일으킬 것이라고 믿습니다.
오,안돼.. 무슨 일이야?
그것은 모든 개발자의 최악의 악몽이다. 암호화 프로젝트의 지옥.
대부분의 평범한 사람들이 잠을 자던 이른 아침,이 작은 핵심 팀은 목이 부러지는 속도로 일하고 있었습니다.
전체 핵심 팀은 그들의 프로토콜에 발생한 악용에 대해 방금 배웠고 재정적 영향을 최소화하기 위해 시계에 대한 경쟁이었습니다.
초인적인 응답 시간과 8 시간 이내에 전체 패치를 사용하면 익스플로잇이 거의 완전히 중단됩니다. 그러나 그것은 야생 거위 추적,그들 가운데 해커,그리고 대규모 초기 재정적 손실없이 아니었다.
이 작은 전담 팀,지역 사회,그리고 처음에 손해$50 만 이상 비용 해킹의 실화입니다.
이것은 헤이븐 해킹의 이야기입니다.그리고 저는 그것이 어떤 모습이었는지,내부에서 말씀드리겠습니다.
배경 이야기
그것은 질문으로 시작되었습니다. 많은 암호화 투자자들이 간과하지만 고려하는 것이 중요합니다. 나는 초기에 암호 화폐에 투자하기 시작했을 때 처음 나 자신에게이 질문을 시작 2017:
변동성 및 개인 정보 보호 관점에서 거래 이익을 보호하고 싶다면 어떻게 하시겠습니까?
아마도 당신은 새로운 발견 재산을 가지고 사기꾼,또는 사악한 배우의 대상이되고 싶지 않아.
아마도 당신은 암호 화폐가 불법,금지 또는 적극적으로 타겟팅 된 국가에 살고 있습니다.
또는 아마도 당신이 원하는 정부 아래에 살고,시도하고있다,또는 당신이 당신의 하드 근로 소득을 지출하는 방법을 제어 할 계획 수 있습니다-당신이나 당신의 가족을 위해 재산을 보존하거나 구축 할 수있는 능력을 제거.
개인 정보 보호에 대한 귀하의 드라이브 뒤에 이유는 다를 수 있지만 질문은 여전히 남아 있습니다. 당신은 어떻게 시장의 불안정에서 금융 이익을 보호하는 동안,귀하의 개인 정보를 유지합니까?
냉장고 지갑은 방정식의 일부일 뿐입니다. 블록체인의 기록과 주소는 변하지 않고 체인에 영원히 고정되어 있기 때문에,그들은 모두 방대한 양의 정보를 발견하기 위해 활용될 수 있습니다.
그리고 재무 안정성의 관점에서 볼 때,테더와 같은 안정적인 동전이 필요한 경우 계정을 동결시킬 수 있다는 것이 점점 더 분명 해지고 있으며,스테이블 코인의 실제 1:1 비율과 달러의 불확실성을 둘러싸고 있습니다.
우리가 그렇게 선택 자유롭게 거래 할 수있는 우리의 능력을 위협-그것은 큰 기술 기업과 정부가 결국 금융 영역을 입력 할 모든 보급 감시를 향해 이동하는 것이 분명하다.
현실 세계의 사생활은 항상 내 관심사였습니다. 암호화 세계의 개인 정보 보호는 결코 다르지 않았습니다. 그러나 그것은 결코(최근까지)해결되지 않았습니다.
암호 화폐의 세계로 다이빙,매혹적인 그대로,여전히이 잔소리 질문 저를 떠났다. 어떤 것이 저를 헤이븐 초기 프로토콜 프로젝트 2018.
공격의 아침에,근면 한 작업의 거의 3.5 년 후,이 해킹은 우리가 싸운 모든 것을 파괴 할 위협.
하나가 아니라 두 개의 공격 지점
2021 년 4 월 초,핵심이 헤이븐 팀은 프로젝트가 진정으로 분산되고 전적으로 커뮤니티에 의해 운영되도록 장기적인 비전을 제시했습니다. 이것은 항상 우선순위였던 것이었습니다.
이 무렵,성장하는 커뮤니티가 이미 개발되었고,헤이븐 네트워크에 새로운 민간 합성 자산의 출시는 바로 모퉁이를 돌았습니다.
그러나 헤이븐의 합성,개인 정보 보호에 초점을 맞춘 안정적인 동전의 초기 출시 후 한 달 만에 해킹이 일어났습니다.
6 월 23 일 아침,우리의 핵심 팀은 파렴치한 광부가 광부 보상 유효성 검사 코드에서 알 수없는 취약점을 활용하기 위해 코드 찾기를 수정하려고 시도했다는 것을 알게되었습니다. 코드를 수정함으로써 해커는 광부에게 합법적으로 기인하지 않은 더 실질적인 광업 보상을 만들 수 있습니다.
같은 날 패치가 배포되었고,익스플로잇은 사용할 수 없게 되었지만,이것은 해커가 두 번이나 악용한 또 다른 취약점을 발견하게 만들었습니다. 그 결과 수십만 개의 위조된 안정적인 자산이 채굴되었고,그 결과 파트너들의 거래소에서 비정상적으로 높은 판매량을 기록했습니다.
만약 체크를 하지 않는다면,알 수 없는(그리고 잠재적으로 무한한)자셋의 인플레이션은 프로토콜을 죽음의 나선으로 몰아넣을 수 있었을 것입니다.
엄청난 압력
헤이븐과 같은 지역사회에서 운영되는 조직에서는 사람들이 더 큰 아이디어에 기여하기 위해 모든 계층에서 모입니다. 그 생각을 앞으로 밀어붙이기 위해서죠.금융 프라이버시의 개념은 헤이븐 팀을 통합합니다.핵심 팀의 모든 사람들은 프로젝트에 자리를 내주었고,개인적인 목표를 희생하고,모든 사람들에게 심각한 결과를 초래하는 무언가를 제공하려는 야망을 가지고 있습니다.
번창하는 기술 스타트 업에서 전술 한 직책에서 성공적인 비즈니스를 떠나는 것까지-금융 프라이버시가 현실이 되고자하는 욕구는 팀의 모든 사람들이 같은 목표를 추구하기 위해 함께 모였습니다.
당신과 다른 사람이 노력의 년에서 뒀다는 것을 알고 있는 동안 위험에 모두를 순식간에 보는 것은,당신에게 형언할 수 없는 침몰 감각을 준다.
하지만 개발자들은 말 그대로 작업이 완료될 때까지 일하고 있었습니다.잠도,휴식도,휴식도 없었습니다. 매일의 팀 회의는 마치 전쟁실과 같았고,레이저로 집중된 방향과 목적의 감각으로 설명할 수 없었습니다.
그리고 우리가 문제를 어떻게 해결할 지 격렬하게 운동하는 동안,나는 우리가 그렇게 할 것이라고 무시 무시하게 확신했습니다.
왜냐하면 해커는 매우 숙련되었지만,프로젝트를 계속하고,재정적 사생활을 현실로 만들기 위한 팀의 노력은 상황을 극복할 수 있다는 것을 알고 있었기 때문입니다.
커뮤니티,협업 및 카운터 공격
해킹에 대한 반응은 신속하고 정확하며 신중해야 했습니다.
첫째,우리의 핵심 팀은 모든 교환 파트너(쿠코 인 포함)와 연락했습니다, 바이낸스 그리고 거래소에서 지갑을 폐쇄해 달라고 요청했습니다. 이것은 공격자가 사기적인 엑사셋의 생성으로 인해 알 수 없는 양의 엑사셋을 입금하고 판매하는 것을 막기 위해 수행되었습니다.
다음으로 팀은 전환 메트릭을 담당하는 프로토콜의 한 측면을 비활성화하는 불가피하고 인정할 수 없는 극단적인 조치를 취했습니다.이 움직임은 본질적으로 더 많은 자금이 전환되고 철회 될 가능성을 중단했습니다.
의심의 씨앗을 파종 우리 가운데 해커(그리고 네,당신은 여전히 해커와 여기에 우리의 핵심 팀 구성원 중 하나 사이의 실제 대화를 읽을 수 있습니다)와 함께,지역 사회는 팀과 지속적인 토론에 있었다.
해커가 여전히 위조 토큰의 추가 착취 또는 교환을 가능하게하기 위해 투표에 영향을 미칠 수 있다는 것을 알고 프로젝트는 여전히 중요한 결정을 통해 커뮤니티를 신뢰해야했습니다. 해킹을 어떻게 처리하고 수백만 달러의 도난된 자산을 회수하는 데 도움이 될지에 대한 투표가 제안되었습니다.
압도적인 지지를 받아 커뮤니티는 공격 전에 블록 하이트로 완전히 전환하기로 합의했으며 많은 회원들이 프로젝트의 장기적인 비전을 위해 단기 이익을 희생했습니다.
롤백은 공격 후 발생한 거래를 근본적으로 되돌려 놓았지만 해킹 초기에 프로토콜 사용을 제한하기 위해 취한 신속하고 결정적인 조치로 인해 프로젝트가 소유자에게 제한된 영향을 미치는 수백만 달러를 회수하는 데 도움이되었습니다.
왜 모든 것이 중요합니까,왜 공격에 대해 그렇게 열심히 싸웁니까?
궁극적 인 개인 정보 보호 문제 때문이다.
"당신이 숨길 것이 없기 때문에 사생활에 관심이 없다고 주장하는 것은 당신이 말할 것이 없기 때문에 표현의 자유에 관심이 없다고 말하는 것과 다르지 않습니다.-에드워드 스노든
그것은 당신이 자유롭게 생각할 수 있기 때문에 중요합니다. 그것은 당신이 종교 나 당신이 연결하는 믿음을 선택할 수 있기 때문에 중요합니다. 그것은 당신이 당신이나 당신의 가족을 위해 가장 적합한 방법으로 지출 또는 저장,금융 자산을 제어 할 수 있기 때문에 그것은 중요하다.
암호 화폐는 항상 민간 금융 미래에 제공의 약속을 개최했다. 아무리 큰 또는 작은,개인적으로 금융 재산을 보유 할 수 있다는 것은 당신이 그렇게 선택하면 당신의 권리와 능력이어야한다.
이 모네 제공 말할 것이다 뭔가 많은 동안,그것은 단지 당신이 개인적으로 거래 할 수 있습니다-안정,확고한 형태로 자산을 보유하지. 시장의 기복에 지배를 받지 않고 프라이버시를 제공하는 것은 이 시점에서 헤이븐만이 제공하는 것입니다.
이 해킹에서 앞으로 나아가는 것은 많은 학습과 우리의 과정에 대한 많은 개선이 필요했습니다.
헤이븐 2.0,배운 교훈
번개가 빠른 성장을 가진 작은 팀이 증명할 수 있듯이 때로는 빠르게 성장할 때 실수가 발생합니다. 우리는 강력한 방법으로 앞으로 나아가고 프로젝트를 거의 분쇄 한+5 천만 달러의 해킹에서 배우기 위해서는 변경을해야한다는 것을 인식했습니다.
첫째,공동체의 권력과 지지가 훨씬 더 많이 활용되고 있다는 것입니다. 버그 보너스 프로그램(최대$100,000 가치)과 향상된 커뮤니케이션으로 커뮤니티는 프로젝트를 찾고,해결하고,함께 작업하는 데 더 중요한 역할을 합니다.
또한 핵심 팀의 완전한 정밀 검사 및 헤이븐 코드베이스의 리팩토링과 함께 새로운 유효성 검사 방법이 도입되었습니다.이 방법은 동료 검토,감사 및 향후 프로토콜 개발에 도움이됩니다. 중요한 것은 이 단계는 프로젝트를 이 위치로 가져온 공격 표면을 사용하여 다른 공격의 가능성을 완전히 제거합니다.
그리고 마지막으로 우리의 핵심 개발자는 검증 및 배포되는 새로운 코드를 테스트하기 위해,암호화 및 모네로 세계적으로 유명한,타사 전문가를 활용했다. 팀은 사이퍼스택과 계약해서 동전과 화상 검증 수학과 새로운 코드를 모두 감사했습니다.
이러한 빠른 속도로 변화하는 세계와 함께,우리는 헤이븐 2.0 은 개인 자금의 미래가 될 수 있으며,우리 모두가 찾고해야 금융 개인 정보 보호에 대한 승리를 제공 할 수 있다고 생각합니다.
그러나 그것을 구축하려면 한 가지 분명한 것은 개인적이고 안정적이며 탄력적 인 프로토콜은 강력한 팀과 타의 추종을 불허하는 커뮤니티의 입력 및 지원이 필요하다는 것입니다.
바이오:
아호크는 2018 년에 헤이븐 프로토콜을 발견했으며 2019 년부터 프로젝트의 커뮤니티 리더로 활동하고 있다. 암호화폐 투자자이자 애호가로서 그는 모네로 기반의 개인 스테이블코인 생태계의 개념이 앞으로 몇 년 동안 사람들이 금융 프라이버시를 보호하고 암호화폐와 상호 작용하는 방식에 진정으로 혁명을 일으킬 것이라고 믿습니다. 여기에서 헤이븐 프로토콜 및 커뮤니티에 대해 자세히 알아볼 수 있습니다: https://havenprotocol.org/