Relatório de status pós-ataque
Esta semana, enquanto nos preparamos para o lançamento do Haven 2.0, temos a oportunidade de revisar os últimos seis meses. Veremos o progresso feito e explicaremos como o ataque afetou o projeto. Em resumo, estamos mais otimistas do que nunca para o futuro do protocolo Haven.
Histórico das explorações de junho de 2021
Detalhes completos do ataque podem ser encontrados em este relatório. Em resumo, a equipe respondeu rapidamente, corrigiu vulnerabilidades imediatas e pausou as conversões de ativos até que o protocolo fosse protegido com o lançamento de Haven 2.0.
Muito do impacto do ataque foi mitigado pelo rápido fechamento de depósitos / retiradas de câmbio e a decisão da comunidade de reverter o blockchain, removendo a maior parte da inflação resultante.
Embora tenha sido doloroso na época, o ataque veio em um momento administrável no crescimento do projeto. Ainda éramos ágeis o suficiente para responder com eficácia, e lições valiosas foram aprendidas que fortalecerão o protocolo nos próximos anos. Resultou no desenvolvimento de Haven 2.0, uma evolução essencial.
Haven 2.0
Haven 2.0 foi amplamente melhorado, com matemática e código auditados de forma independente por especialistas Monero da Cypher Stack (ver auditorias) Inclui a nova validação mint e burn para lidar com as vulnerabilidades de conversão. Para mais detalhes, veja este guia para Haven 2.0.
Efeito potencial na oferta
A oferta do Protocolo Haven é elástica, pois as forças de mercado fazem com que a circulação se expanda e se contraia durante os ciclos inflacionários e deflacionários. Este é um recurso desejável e essencial que é explicado no papel branco. Houve ativos cunhados na exploração de junho, antes do ponto de reversão, que aumentou marginalmente o fornecimento de circulação do protocolo. Esses números foram compreendidos pela equipe e pela comunidade e podem ser vistos no relatório pós-ataque. Você pode visualizar o fornecimento circulante atual de XHV, xUSD, xAssets no explorador de bloco aqui.
Um sofisticado scanner de blockchain foi construído pela equipe de desenvolvimento para identificar e entender quaisquer transações maliciosas.
No entanto, existia uma vulnerabilidade que poderia ter sido usada para cunhar moedas, de uma forma que é muito difícil, senão impossível, de detectar na cadeia. Teoricamente, ele poderia ter sido usado para converter ativos com uma proporção de 1: 1, como no exploit xBTC - xJPY. Essa vulnerabilidade foi identificada pela equipe principal e corrigida na bifurcação de julho de 2021 antes que qualquer outra pessoa pudesse saber. A equipe está muito confiante de que nunca foi explorada. Em primeiro lugar, não há nenhuma evidência de que esse exploit tenha sido usado, seja em dados onshore-offshore, comércio ou em qualquer outro lugar.
Em segundo lugar, seria necessário um nível extraordinário de conhecimento e compreensão do protocolo, e é por isso que nossa equipe de desenvolvedores experientes nunca percebeu isso depois de anos trabalhando no código. Terceiro, o exploit xAsset que experimentamos em junho era significativamente mais simples de executar, então não havia incentivo para ninguém olhar mais a fundo na base de código para executar esse tipo de ataque.
Agora que todas as conversões se beneficiam da validação de Haven 2.0 mint and burn, confirmando as transações na curva elíptica e no espaço normal, temos total confiança nos números de suprimento futuros.
Impacto no Tesouro
Antes do ataque, a carteira de governança do projeto acumulava taxas de conversão rapidamente, de modo que o saldo era maior do que o esperado em nossas previsões financeiras. No entanto, o ataque reduziu significativamente os fundos do projeto.
Em primeiro lugar, a reversão reverteu uma grande proporção das taxas daqueles que utilizam o atraso de preço xBTC. Isso é desejável, pois essas taxas contribuem para o impacto negativo da negociação xBTC, portanto, são fundos que preferiríamos não ter de qualquer maneira. Os novos tempos e taxas de bloqueio do xAsset significam que esse tipo de negociação de arbitragem não é mais possível, pois o protocolo se destina ao armazenamento de ativos.
Em segundo lugar, algumas bolsas e pools de mineração perderam fundos significativos como resultado da reversão, já que muitos depósitos ou recompensas XHV foram revertidos. O protocolo tinha a responsabilidade de reembolsar os fundos perdidos, tanto para cumprir as obrigações contratuais quanto para manter relacionamentos. O custo desses reembolsos foi de cerca de 400.000 XHV.
A terceira despesa significativa foi a recompensa por insetos e consultoria. Estamos muito satisfeitos por este esquema ter sido um sucesso. Até agora, $150.000 em pagamentos foram ou serão feitos a vários contribuidores durante o desenvolvimento de Haven 2.0.
A maioria das despesas acima foi paga em XHV, mas o cofre continha principalmente xUSD e xBTC de taxas de conversão. Para gerenciar o fluxo de XHV enquanto as conversões estavam off-line, contamos com a generosidade de apoiadores que emprestaram várias centenas de milhares de XHV para o projeto. Por isso, somos muito gratos, e a maior parte desses empréstimos já foram quitados.
Embora 80% de taxas de conversão de xAsset sejam queimadas em Haven 2.0, o projeto ainda está em uma base financeira sólida. Atualmente, a carteira de governança tem 1,3 milhão de xUSD, 18.000 XHV e 10 xBTC. Esse saldo será reduzido significativamente assim que os empréstimos finais de XHV forem pagos, dependendo do preço de mercado de XHV. Esperamos que as taxas onshore e offshore cobrirão todas as despesas gerais operacionais do protocolo no futuro.
Conclusão
Embora o ataque tenha tido um impacto significativo no protocolo, em nossa equipe e em nossa comunidade, estamos orgulhosos do trabalho realizado nos últimos quatro meses para recuperar e construir Haven 2.0. Este sucesso é uma prova da dedicação de todos os envolvidos, que estão comprometidos em cumprir a promessa da Haven de dinheiro privado e estável.
O lançamento da próxima semana marcará o marco mais importante para o projeto. Haven 2.0 nos permitirá começar a planejar nossa próxima fase de crescimento, incluindo integrações com THORChain, carteira de terceiros e muito mais. Fique ligado e obrigado por fazer parte do futuro do dinheiro privado!