Respondendo e se recuperando de um hack de criptografia de + $50m do Protocolo Haven - The Inside Story

Este é um post convidado de AHawk. A AHawk descobriu o protocolo Haven em 2018 e é líder comunitário do projeto desde 2019. Como um investidor e entusiasta de criptografia, ele acredita que o conceito de um ecossistema de stablecoin privado baseado em Monero realmente revolucionará a forma como as pessoas protegem sua privacidade financeira e interagem com a criptografia nos próximos anos. 

Oh Não... O Que Aconteceu?

É o pior pesadelo de todos os desenvolvedores. Um projecto criptográfico é um inferno. 

Web3 wallet for your digital assets!

Install

Install

Nas primeiras horas da manhã, quando a maioria das pessoas normais dormia, esta pequena equipa estava a trabalhar a uma velocidade vertiginosa.

Toda a equipa principal tinha acabado de tomar conhecimento de uma exploração que tinha ocorrido no seu protocolo, e foi uma corrida contra o relógio para minimizar o impacto financeiro. 

Com um tempo de resposta hercúleo e um patch completo em menos de 8 horas, a exploração seria quase completamente interrompida. Mas não foi sem uma perseguição de ganso selvagem, um hacker no meio deles e uma enorme perda financeira inicial.

Esta é a verdadeira história de uma pequena equipe dedicada, uma comunidade e um hack que inicialmente custou mais de US$50 milhões em danos. 

Esta é a história do Hack Haven, e vou contar-vos como foi, por dentro.

História de fundo

Começou com uma pergunta. Um que muitos cripto-investidores ignoram, mas é fundamental considerar. Comecei a me fazer essa pergunta quando comecei a investir em criptomoedas no início de 2017:

Se quisesse proteger os seus ganhos de negociação tanto da volatilidade como do ponto de vista da privacidade, como o faria?

Talvez você tenha novas riquezas encontradas e não queira se tornar um alvo para golpistas ou atores nefastos. 

Talvez você viva em um país onde a criptomoeda é ilegal, proibida ou ativamente alvo.

Ou talvez você viva sob um governo que quer, tentou ou pode planejar controlar como você gasta sua renda suada - eliminando sua capacidade de preservar ou construir riqueza para você ou sua família.

A razão por trás do seu desejo de Privacidade pode variar, mas a questão ainda permanece. Como é que mantém a sua privacidade, protegendo simultaneamente os seus ganhos financeiros com a instabilidade do mercado?

Uma carteira de armazenamento a frio é apenas parte da equação. Como os registros e endereços no blockchain são imutáveis e fixados para sempre na cadeia, todos eles podem ser aproveitados para descobrir uma vasta quantidade de informações.

E do ponto de vista da estabilidade financeira, tornou-se cada vez mais claro que moedas estáveis como o Tether podem congelar contas, se necessário, contornando a incerteza dos rácios reais de 1:1 de stablecoin para Dólares.

É claro que as grandes empresas de tecnologia e os governos estão a avançar para uma vigilância generalizada que acabará por entrar no domínio financeiro - ameaçando a nossa capacidade de transacionar livremente como quisermos.

A privacidade no mundo real sempre foi uma preocupação minha. A privacidade no mundo criptográfico nunca foi diferente. E, no entanto, nunca (até recentemente) foi resolvido.

Mergulhar no mundo da criptomoeda, por mais fascinante que fosse, ainda me deixou com essa pergunta incômoda. Foi o que me levou ao Haven Projeto de protocolo no início de 2018.

Na manhã do ataque, após quase 3,5 anos de trabalho árduo, este hack ameaçou destruir tudo o que tínhamos lutado.

Não um, mas dois pontos de ataque

Foi no início de abril de 2021, quando o núcleo Haven a equipe delineou uma visão de longo prazo para tornar o projeto verdadeiramente descentralizado e executado inteiramente pela comunidade. Isso sempre foi uma prioridade. 

Nessa altura, já se tinha desenvolvido uma comunidade em crescimento, e o lançamento de novos activos sintéticos privados na rede Haven estava ao virar da esquina. 

Mas apenas um mês após o lançamento inicial das moedas estáveis sintéticas e focadas na privacidade de Haven, o hack aconteceu. 

Na manhã de 23 de junho, a nossa equipa principal descobriu que um mineiro sem escrúpulos tinha tentado modificar o código - procurando tirar partido de uma vulnerabilidade desconhecida no nosso código de validação de recompensa de mineiro. Ao modificar o código, o hacker seria capaz de criar recompensas de mineração mais substanciais que não eram legitimamente devidas ao mineiro.

Embora os patches tenham sido lançados no mesmo dia e a exploração tenha sido inutilizada, isso levou a equipe a descobrir outra vulnerabilidade que havia sido explorada duas vezes pelo hacker. O efeito resultante foi que centenas de milhares de ativos estáveis falsificados foram cunhados, resultando no volume de vendas invulgarmente elevado de XHV (token do Protocolo Haven) nas bolsas dos nossos parceiros.

Se não for controlada, a inflação desconhecida (e potencialmente ilimitada) dos xAssets poderia ter levado o protocolo a uma espiral de morte - quebrando o preço do XHV e redefinindo anos de trabalho árduo.

Pressão Imensa

Numa organização comunitária como a Haven, as pessoas reúnem-se de todas as esferas da vida para contribuir para uma ideia mais ampla. Para levar essa ideia adiante.O conceito de privacidade financeira une a equipe Haven, todos na equipe principal deram lugar ao projeto, sacrificando objetivos pessoais e ambições para entregar algo com profundas consequências para todos. 

De posições anteriores em startups de tecnologia prósperas a deixar empresas de sucesso-o desejo de ver a privacidade financeira se tornar uma realidade reuniu todos na equipe para perseguir o mesmo objetivo.

Ver tudo em risco num instante, sabendo que o Senhor e os outros se dedicaram a anos de trabalho árduo, dá-lhe uma sensação de afundamento que é indescritível.

Mas os desenvolvedores estavam literalmente trabalhando até que o trabalho estivesse concluído, sem sono, sem tempo de inatividade, sem descanso. A reunião diária da equipe foi como uma sala de guerra, com um senso de direção e propósito focado no laser que não posso começar a descrever.

E enquanto estávamos a trabalhar furiosamente para resolver o problema, estava assustadoramente confiante de que o faríamos.

Porque, embora o hacker fosse muito habilidoso, o esforço da equipe para manter o projeto em andamento, para tornar a privacidade financeira uma realidade, era algo que eu sabia que superaria a situação.

Comunidade, colaboração e Contra-Ataque

A resposta ao hack tinha de ser rápida, precisa e deliberada. 

Em primeiro lugar, a nossa equipa principal contactou todos os parceiros de Intercâmbio (incluindo a KuCoin, Binance, TradeOgre e Bittrex) e solicitou que as bolsas fechassem as carteiras XHV. Isso foi feito para evitar que o invasor depositasse e vendesse uma quantidade desconhecida de XHV a partir da criação dos xassets fraudulentos.

Em seguida, a equipa tomou a medida inevitável e reconhecidamente extrema de desactivar um aspecto do Protocolo responsável pelas métricas de conversão - este movimento essencialmente parou o potencial de mais fundos serem convertidos e retirados.

Com o hacker em nosso meio semeando sementes de dúvida (e sim, você ainda pode ler a conversa real entre o hacker e um dos membros da nossa equipe principal aqui), a comunidade estava em constante discussão com a equipe.

Sabendo que o hacker ainda poderia influenciar uma votação para permitir uma maior exploração ou troca de tokens falsificados, o projeto ainda precisava confiar na comunidade decisões importantes. Foi proposta uma votação sobre como lidar com o hack e ajudar a recuperar os milhões em ativos roubados.

Votada com um apoio esmagador, a comunidade concordou com uma reversão total para uma altura de bloqueio antes do ataque, com muitos membros sacrificando ganhos de curto prazo para a visão de longo prazo do projeto. 

A reversão essencialmente reverteu as transações que ocorreram após o ataque, mas devido à ação rápida e decisiva tomada para limitar o uso do protocolo no início do hack, ajudou o projeto a recuperar milhões com impacto limitado para os detentores.

Por Que Tudo Isso Importa, Por Que Lutar Tanto Contra Um Ataque?

Final porque a privacidade é importante. 

"Argumentar que você não se importa com a privacidade porque não tem nada a esconder não é diferente de dizer que não se importa com a liberdade de expressão porque não tem nada a dizer."- Edward Snowden

É importante porque lhe permite pensar livremente. É importante porque permite que você escolha uma religião ou crença com a qual se conecte. É importante porque lhe permite controlar os seus activos financeiros, gastar ou poupar de uma forma que seja melhor para si ou para a sua família.

A criptomoeda sempre manteve a promessa de cumprir um futuro financeiro privado. Ser capaz de manter sua riqueza financeira em particular, não importa quão grande ou pequena, deve ser seu direito e capacidade, se assim o desejar.

E embora isso seja algo que muitos dirão que o Monero fornece, ele só permite que você faça transações privadas - não mantenha seus ativos de forma estável e inabalável. Oferecer Privacidade sem estar sujeito aos altos e baixos do mercado é algo que, neste momento, só a Haven oferece.

Avançar com este hack exigiu muito aprendizado e muitas melhorias em nosso processo.

Haven 2.0, Lições Aprendidas

Como qualquer pequena equipa com um crescimento extremamente rápido pode atestar, por vezes, quando cresce rapidamente, são cometidos erros. Reconhecemos que, para avançar de forma forte e aprender com um hack de +$50 milhões que quase esmagou o projeto, mudanças teriam que ser feitas.

A primeira é que o poder e o apoio da comunidade são agora muito mais aproveitados. Com programas de recompensas por bugs em vigor (até US $100.000) e uma melhor comunicação, a comunidade é mais fundamental para encontrar, resolver e trabalhar em conjunto para construir o projeto.

Além disso, novos métodos de validação foram implementados, juntamente com a revisão completa e refatoração da Base de código Haven pela nossa equipa principal - um aspecto que ajuda na revisão por pares, auditoria e desenvolvimento futuro de protocolos. É importante ressaltar que esta etapa remove completamente o potencial de outro ataque usando a superfície de ataque que colocou o projeto nessa posição.

E, finalmente, nossos principais desenvolvedores alavancaram especialistas de renome mundial, 3rd party em criptografia e Monero, para validar e testar o novo código que é implantado. A equipa contratou a CypherStack para a auditoria da matemática de validação da Mint e Burn e do novo código.

Com o mundo a mudar a um ritmo tão acelerado, acreditamos que o Haven 2.0 pode ser o futuro do dinheiro privado e pode proporcionar a vitória para a privacidade financeira que todos deveríamos estar à procura. 

Mas, para construí-lo, uma coisa é clara: um protocolo privado, estável e resiliente precisa de uma equipa forte e da contribuição e apoio de uma comunidade incomparável. 

Bio:

A AHawk descobriu o protocolo Haven em 2018 e é líder comunitário do projeto desde 2019. Como um investidor e entusiasta de criptografia, ele acredita que o conceito de um ecossistema de stablecoin privado baseado em Monero realmente revolucionará a forma como as pessoas protegem sua privacidade financeira e interagem com a criptografia nos próximos anos. Você pode aprender mais sobre o protocolo Haven e a comunidade indo aqui: https://havenprotocol.org/