回应并从Haven协议的+$50m加密黑客中恢复-内幕
这是阿霍克的一篇客座文章. AHawk在2018年发现了Haven协议,自2019年以来一直是该项目的社区领导者。 作为加密投资者和狂热者,他相信基于Monero的私人稳定币生态系统的概念将真正彻底改变人们在未来几年保护财务隐私和与加密互动的方式。
不会吧。... 刚刚发生了什么?
这是每个开发人员最糟糕的噩梦。 一个加密项目的地狱。
在凌晨,当大多数正常人都在睡觉的时候,这个小小的核心团队正在以惊人的速度工作。
整个核心团队刚刚了解到他们的协议上发生的漏洞,这是一场分秒必争的比赛,以尽量减少财务影响。
随着一个巨大的响应时间和一个完整的补丁在不到8小时,漏洞将几乎完全停止。 但这并不是没有一个白费力气的追逐,一个黑客在他们中间,以及巨大的初始财务损失。
这是一个小型专业团队,一个社区和一个黑客的真实故事,最初花费了超过5000万美元的损失。
这是Haven Hack的故事,我将从内部告诉你它是什么样子。
背景故事
它从一个问题开始。 许多加密投资者忽视的一个,但至关重要的是要考虑。 当我在2017年初开始投资加密货币时,我第一次开始问自己这个问题:
如果您想从波动性和隐私角度保护您的交易收益,您将如何做到这一点?
也许你有新发现的财富,不想成为骗子或邪恶的演员的目标。
也许你生活在一个加密货币是非法的,被禁止的或积极的目标的国家。
或者,也许你生活在一个政府想要,试图或可能计划控制你如何花你辛苦赚来的收入-消除你为你或你的家人保存或积累财富的能力。
您的隐私驱动器背后的原因可能会有所不同,但问题仍然存在。 您如何维护您的隐私,同时保护您的财务收益免受市场不稳定的影响?
冷藏钱包只是等式的一部分。 由于区块链上的记录和地址是不可变的,并且永远固定在链上,它们都可以被用来发现大量的信息。
从金融稳定的角度来看,越来越清楚的是,像Tether这样的稳定币可以在需要时冻结账户,同时绕过稳定币与美元的实际1:1比率的不确定性。
很明显,大型科技公司和政府正在走向所有普遍的监控,最终将进入金融领域-威胁我们自由交易的能力,因为我们选择。
现实世界中的隐私一直是我关心的问题。 加密世界的隐私从未有过任何不同。 但它从未(直到最近)得到解决。
潜入加密货币的世界,尽管它很迷人,但仍然给我留下了这个唠叨的问题。 这就是我找到的原因。 避风港 2018年初的协议项目。
在袭击发生的那天早上,经过近3.5年的艰苦工作,这个黑客威胁要摧毁我们为之奋斗的一切。
不是一个,而是两个攻击点
那是2021年4月初,当核心 避风港 团队概述了一个长期愿景,使项目真正分散并完全由社区运行。 这一直是一个优先事项。
到这个时候,一个不断增长的社区已经发展起来,在Haven网络上推出新的私人合成资产指日可待。
但在Haven的合成,隐私为重点的稳定币首次推出后仅一个月,黑客就发生了。
在6月23日上午,我们的核心团队发现一个不择手段的矿工试图修改代码,以利用我们的矿工奖励验证代码中的一个未知漏洞。 通过修改代码,黑客将能够创造更多实质性的采矿奖励,而这些奖励不是由矿工合法获得的。
虽然补丁在同一天推出,并且漏洞利用变得无法使用,但这导致团队发现了另一个被黑客利用两次的漏洞。 由此产生的影响是铸造了数十万伪造的稳定资产,导致xhv(Haven Protocol的令牌)在我们合作伙伴的交易所上的销售量异常高。
如果不加以控制,xAssets的未知(可能是无限的)通货膨胀可能会使协议陷入死亡螺旋-崩溃XHV的价格并重置多年的艰苦工作。
巨大的压力
在像Haven这样的社区经营组织中,来自各行各业的人们聚集在一起,为更大的想法做出贡献。 把这个想法推向前进。财务隐私的概念将Haven团队团结在一起,核心团队的每个人都让位于项目,牺牲了个人目标,并有野心为所有人提供具有深远影响的东西。
从在蓬勃发展的科技创业公司担任职位,到离开成功的企业-希望看到财务隐私成为现实的愿望让团队中的每个人都一起追求同样的目标。
在瞬间看到所有处于危险之中,同时知道你和其他人已经付出了多年的努力,给你一种难以形容的下沉感觉。
但是开发者实际上一直在工作,直到工作完成,没有睡眠,没有休息时间,没有休息。 每天的团队会议就像一个战争室,有一种激光聚焦的方向感和目的感,我无法开始描述。
当我们正在疯狂地研究如何解决这个问题时,我非常有信心我们会解决这个问题。
因为虽然黑客非常熟练,但我知道团队保持项目的动力,使财务隐私成为现实,这将克服这种情况。
社区、协作和反击
对黑客的反应必须是,而且是迅速,准确和深思熟虑的。
首先,我们的核心团队联系了所有交易所合作伙伴(包括KuCoin, 宾纳斯,TradeOgre和Bittrex),并要求交易所关闭XHV钱包。 这样做是为了防止攻击者从创建欺诈性xAssets中存入和出售未知数量的XHV。
接下来,该团队采取了不可避免且无可否认的极端措施,禁用负责转换度量的协议的一个方面-这一举措基本上阻止了更多资金转换和提取的可能性。
随着黑客在我们中间播下怀疑的种子(是的,你仍然可以在这里阅读黑客和我们的核心团队成员之间的实际对话),社区一直在与团队讨论。
知道黑客仍然可以影响投票以进一步利用或交换假冒令牌,该项目仍然需要信任社区做出重要决策。 有人就如何处理黑客行为并帮助追回数百万被盗资产进行了投票。
在压倒性的支持下投票,社区同意在袭击发生前完全回滚到blockheight,许多成员为项目的长期愿景牺牲了短期收益。
回滚本质上逆转了攻击后发生的交易,但由于在黑客攻击早期采取了快速果断的行动来限制协议的使用,它帮助项目恢复了数百万美元,对持有者的影
为什么这一切都很重要,为什么要如此努力地对抗攻击?
最终因为隐私很重要。
"争辩说你不关心隐私,因为你没有什么可隐瞒的,这与说你不关心言论自由没什么可说的没有什么不同。"-爱德华*斯诺登
这很重要,因为它可以让你自由思考。 这很重要,因为它允许你选择一个与你联系的宗教或信仰。 这很重要,因为它可以让你以最适合你或你的家人的方式控制你的金融资产、支出或储蓄。
加密货币一直承诺实现私人金融未来。 能够私下持有你的金融财富,无论大小,应该是你的权利和能力,如果你这样选择。
虽然这是许多人会说Monero提供的,但它只允许您私下交易-而不是以稳定,坚定不移的形式持有您的资产。 在不受市场起伏影响的情况下提供隐私,这是目前只有避风港提供的。
从这个黑客前进需要大量的学习,并对我们的过程进行许多改进。
避风港2.0,经验教训
正如任何一个快速增长的小团队可以证明的那样,有时,当快速增长时,会犯错误。 我们认识到,为了以强大的方式前进,并从几乎粉碎项目的+$50-million黑客中学习,必须进行更改。
首先,社区的力量和支持现在得到了更大程度的利用。 随着Bug赏金计划的实施(价值高达100,000美元)和改进的沟通,社区在寻找、解决和共同构建项目方面发挥了更大的作用。
此外,新的验证方法已经到位,我们的核心团队对Haven代码库进行了全面的大修和重构-这一方面有助于同行评审,审计和未来的协议开发。 重要的是,这一步完全消除了使用使项目进入这个位置的攻击面进行另一次攻击的可能性。
最后,我们的核心开发人员利用世界着名的第三方密码学和Monero专家来验证和测试部署的新代码。 该团队与CypherStack签订了合同,以审核Mint和Burn验证数学以及新代码。
随着世界以如此快的速度变化,我们相信Haven2.0可以成为私人资金的未来,并可能为我们都应该寻找的财务隐私提供胜利。
但要构建它,有一点是明确的:私有的,稳定的和有弹性的协议需要一个强大的团队以及无与伦比的社区的投入和支持。
生物:
AHawk在2018年发现了Haven协议,自2019年以来一直是该项目的社区领导者。 作为加密投资者和爱好者,他相信基于Monero的私人稳定币生态系统的概念将真正彻底改变人们在未来几年如何保护他们的财务隐私并与加密互动。 你可以通过这里了解更多关于港口协议和社区的信息: https://havenprotocol.org/