Реагирование на криптохак Haven Protocol стоимостью более 50 миллионов долларов и восстановление после него - Внутренняя история

Это гостевой пост от AHawk. AHawk открыл для себя протокол Haven в 2018 году и является лидером сообщества проекта с 2019 года. Как криптоинвестор и энтузиаст, он считает, что концепция частной экосистемы стабильных монет на основе Monero действительно произведет революцию в том, как люди защищают свою финансовую конфиденциальность и взаимодействуют с криптовалютой в предстоящие годы. 

 

о нет... Что только что произошло?

Это худший кошмар каждого разработчика. Криптопроект - это ад. 

Ранним утром, когда большинство нормальных людей спали бы, эта небольшая основная команда работала с головокружительной скоростью.

Вся основная команда только что узнала об эксплойте, который произошел в их протоколе, и это была гонка на время, чтобы минимизировать финансовые последствия. 

При гигантском времени отклика и полном исправлении менее чем за 8 часов эксплойт был бы почти полностью остановлен. Но не обошлось без погони за дикими гусями, хакера среди них и огромных первоначальных финансовых потерь.

Это правдивая история небольшой преданной своему делу команды, сообщества и взлома, который изначально обошелся в ущерб более чем в 50 миллионов долларов. 

Это история взлома Haven, и я собираюсь рассказать вам, на что это было похоже изнутри.

Предыстория

Все началось с вопроса. Тот, который многие криптоинвесторы упускают из виду, но который крайне важно учитывать. Впервые я начал задавать себе этот вопрос, когда начал инвестировать в криптовалюту в начале 2017 года:

Если бы вы хотели защитить свою торговую прибыль как от волатильности, так и с точки зрения конфиденциальности, как бы вы это сделали?

Возможно, вы недавно обрели богатство и не хотите становиться мишенью для мошенников или гнусных актеров. 

Возможно, вы живете в стране, где криптовалюта является незаконной, запрещенной или активно преследуемой.

Или, возможно, вы живете под властью правительства, которое хочет, пыталось или, возможно, планирует контролировать то, как вы тратите свой с трудом заработанный доход, лишая вас возможности сохранять или приумножать богатство для себя или своей семьи.

Причина, по которой вы стремитесь к конфиденциальности, может быть разной, но вопрос по-прежнему остается открытым. Как вы сохраняете свою конфиденциальность, защищая при этом свои финансовые выгоды от нестабильности рынка?

Кошелек для холодного хранения - это только часть уравнения. Поскольку записи и адреса в блокчейне неизменяемы и навсегда закреплены в цепочке, все они могут быть использованы для раскрытия огромного объема информации.

И с точки зрения финансовой стабильности становится все более очевидным, что стабильные монеты, такие как Tether, могут замораживать счета в случае необходимости, тем временем обходя неопределенность фактического соотношения стабильных монет к долларам 1: 1.

Очевидно, что крупные технологические компании и правительства переходят к повсеместному надзору, который в конечном итоге распространится и на финансовую сферу, угрожая нашей способности свободно совершать сделки по своему усмотрению.

Неприкосновенность частной жизни в реальном мире всегда была моей заботой. Конфиденциальность в криптомире никогда ничем не отличалась. И все же она никогда (до недавнего времени) не была решена.

Погружение в мир криптовалют, каким бы увлекательным оно ни было, все равно оставило меня с этим мучительным вопросом. Именно это привело меня к проекту Haven Protocol в начале 2018 года.

Утром в день атаки, после почти 3,5 лет кропотливой работы, этот взлом угрожал уничтожить все, за что мы боролись.

Не одна, А две точки атаки

Это было в начале апреля 2021 года, когда команда core Haven изложила долгосрочное видение того, как сделать проект по-настоящему децентрализованным и полностью управляемым сообществом. Это было то, что всегда было приоритетом. 

К этому времени уже сформировалось растущее сообщество, и запуск новых частных синтетических активов в сети Haven был не за горами. 

Но всего через месяц после первоначального запуска синтетических стабильных монет Haven, ориентированных на конфиденциальность, произошел взлом. 

Утром 23 июня наша основная команда обнаружила, что недобросовестный майнер попытался изменить код, пытаясь воспользоваться неизвестной уязвимостью в нашем коде проверки вознаграждения майнера. Изменив код, хакер смог бы получить более существенные вознаграждения за майнинг, которые не были законно причитающимися майнеру.

Хотя исправления были выпущены в тот же день, и эксплойт стал непригодным для использования, это привело команду к обнаружению другой уязвимости, которой хакер воспользовался дважды. В результате были отчеканены сотни тысяч поддельных стабильных активов, что привело к необычно высокому объему продаж XHV (токена протокола Haven) на биржах наших партнеров.

Если бы это не было остановлено, неизвестная (и потенциально неограниченная) инфляция xAssets могла бы запустить протокол в смертельную спираль - обрушив цену XHV и сведя на нет годы напряженной работы.

Огромное давление

В такой общественной организации, как Haven, люди из всех слоев общества собираются вместе, чтобы внести свой вклад в реализацию более масштабной идеи. Чтобы продвинуть эту идею вперед.Концепция финансовой конфиденциальности объединяет команду Haven, каждый член основной команды отдался проекту, пожертвовав личными целями и амбициями, чтобы добиться чего-то с глубокими последствиями для всех. 

Начиная с предыдущих должностей в процветающих технологических стартапах и заканчивая уходом из успешного бизнеса - желание видеть, как финансовая конфиденциальность становится реальностью, объединило всех членов команды для достижения одной и той же цели.

Видеть, как все в одно мгновение подвергается риску, и в то же время знать, что вы и другие люди потратили годы напряженной работы, вызывает у вас неописуемое чувство упадка сил.

Но разработчики буквально работали до тех пор, пока работа не была выполнена, без сна, без простоя, без отдыха. Ежедневное собрание команды было похоже на боевую рубку, с лазерно-сфокусированным чувством направления и цели, которое я не могу даже начать описывать.

И пока мы яростно обдумывали, как бы нам решить эту проблему, я был до жути уверен, что мы это сделаем.

Потому что, хотя хакер был очень опытным, стремление команды продолжать проект, сделать финансовую конфиденциальность реальностью - это то, что, как я знал, поможет преодолеть ситуацию.

Сообщество, сотрудничество и контратака

Реакция на взлом должна была быть быстрой, точной и обдуманной. 

Сначала наша основная команда связалась со всеми партнерами биржи (включая KuCoin, Binance, TradeOgre и Bittrex) и потребовала, чтобы биржи закрыли кошельки XHV. Это было сделано для того, чтобы злоумышленник не смог внести и продать неизвестное количество XHV в результате создания мошеннических xAssets.

Затем команда предприняла неизбежную и, по общему признанию, крайнюю меру - отключила аспект протокола, отвечающий за показатели конверсии - этот шаг, по сути, остановил возможность конвертации и вывода любых других средств.

Поскольку хакер среди нас сеял семена сомнений (и да, вы все еще можете прочитать фактический разговор между хакером и одним из основных членов нашей команды здесь), сообщество постоянно обсуждало это с командой.

Зная, что хакер все еще может повлиять на голосование, чтобы разрешить дальнейшую эксплуатацию или обмен поддельными токенами, проекту по-прежнему необходимо было доверять сообществу важные решения. Было предложено провести голосование о том, как справиться со взломом и помочь вернуть миллионы украденных активов.

Проголосовав при подавляющей поддержке, сообщество согласилось на полный откат к блокировке до атаки, при этом многие участники пожертвовали краткосрочными выгодами ради долгосрочного видения проекта. 

Откат, по сути, отменил транзакции, которые произошли после атаки, но благодаря быстрым и решительным действиям, предпринятым для ограничения использования протокола на ранней стадии взлома, это помогло проекту вернуть миллионы с ограниченными последствиями для владельцев.

Почему Все Это Имеет Значение, Зачем Так Упорно Бороться С Нападением?

Окончательный, потому что конфиденциальность имеет значение. 

“Утверждать, что вас не волнует неприкосновенность частной жизни, потому что вам нечего скрывать, ничем не отличается от заявления, что вас не волнует свобода слова, потому что вам нечего сказать”. - Эдвард Сноуден

Это важно, потому что позволяет вам свободно мыслить. Это важно, потому что позволяет вам выбрать религию или убеждения, с которыми вы связаны. Это важно, потому что позволяет вам контролировать свои финансовые активы, расходы или сбережения наилучшим образом для вас или вашей семьи.

Криптовалюта всегда обещала обеспечить частное финансовое будущее. Возможность хранить свое финансовое состояние в тайне, независимо от того, насколько оно велико или мало, должна быть вашим правом и возможностью, если вы того пожелаете.

И хотя многие скажут, что Monero предоставляет именно это, он позволяет вам совершать сделки только в частном порядке, а не хранить ваши активы в стабильной, непоколебимой форме. Предлагать конфиденциальность, не будучи подверженным взлетам и падениям рынка, - это то, что на данный момент предлагает только Haven.

Продвижение вперед после этого взлома потребовало много знаний и многих улучшений в нашем процессе.

Убежище 2.0, извлеченные уроки

Как может подтвердить любая небольшая команда с молниеносным ростом, иногда при быстром росте допускаются ошибки. Мы осознали, что для того, чтобы уверенно двигаться вперед и извлечь уроки из взлома стоимостью более 50 миллионов долларов, который едва не уничтожил проект, необходимо внести изменения.

Во-первых, сила и поддержка сообщества теперь используются в гораздо большей степени. Благодаря программам вознаграждения за ошибки (на сумму до 100 000 долларов) и улучшенной коммуникации сообщество играет более важную роль в поиске, устранении неполадок и совместной работе над созданием проекта.

Кроме того, были внедрены новые методы проверки наряду с полным пересмотром и рефакторингом кодовой базы Haven нашей основной командой - аспект, который помогает при экспертной оценке, аудите и разработке будущих протоколов. Важно отметить, что этот шаг полностью устраняет возможность повторной атаки с использованием поверхности атаки, которая привела проект в такое положение.

И, наконец, наши основные разработчики привлекли всемирно известных сторонних экспертов в области криптографии и Monero для проверки и тестирования нового развернутого кода. Команда заключила контракт с CypherStack на аудит математических моделей проверки Mint и Burn, а также нового кода.

Учитывая, что мир меняется такими быстрыми темпами, мы считаем, что Haven 2.0 может стать будущим частных денег и может обеспечить победу финансовой конфиденциальности, к которой мы все должны стремиться. 

Но для его создания ясно одно: частный, стабильный и отказоустойчивый протокол нуждается в сильной команде, а также во вкладе и поддержке непревзойденного сообщества. 

Био:

AHawk открыл для себя протокол Haven в 2018 году и является лидером сообщества проекта с 2019 года. Как криптоинвестор и энтузиаст, он считает, что концепция частной экосистемы стабильных монет на основе Monero действительно произведет революцию в том, как люди защищают свою финансовую конфиденциальность и взаимодействуют с криптовалютой в предстоящие годы. Вы можете узнать больше о протоколе Haven и сообществе, перейдя сюда: https://havenprotocol.org /