¿Qué hizo Origin Protocol después del hackeo de OUSD?

El artículo se tradujo en el medio de Origin Protocol para actualizarlo sobre lo que el equipo ha hecho y hará después del último hackeo.

Origin Protocol ha hecho un gran esfuerzo para devolverle a la comunidad OUSD, un proyecto interesante. Aunque este período de tiempo no es mucho, no significa que el equipo haya trabajado a la ligera para relanzar OUSD independientemente. El siguiente artículo está compilado en medio de Origin Protocol para brindarle lo que el equipo ha hecho y hará después del último hackeo.

Cosas que ha hecho Origin Protocol

De hecho, el error anterior solo necesita corregirse con una línea de código que puede corregirse inmediatamente. Sin embargo, en lugar de simplemente cambiar el código, el proyecto dedicó más tiempo a examinar todos los procesos.

En primer lugar, el equipo arregló la verificación de validación del dispositivo, además de agregar verificaciones de reingreso a la Bóveda de OUSD para evitar que se exploten errores similares en el futuro. 

Además:

Auditoría

Cuando ocurrió el ataque de noviembre, Trail of Bits todavía estaba en proceso de auditar OUSD. Completaron la auditoría e identificaron algunos problemas menores además de un error importante. En ese momento, el equipo estaba trabajando en cada tema que destacaron.

Actualmente, el proyecto ha completado 2 auditorías, junto con la corrección de algunos errores menores que el equipo descubrió durante este proceso. Además, el equipo decidió buscar una segunda empresa de auditoría para brindar una perspectiva diferente. El proyecto trabajó con Solidified, quien revisó todo el sistema, así como el nuevo contrato de participación y compensación del proyecto, que Trail of Bits aún no ha probado.

• Auditoría Trail of Bits OUSD
• Auditoría solidificada de OUSD
• Auditoría OGN solidificada

El equipo también planea auditar con OpenZeppelin para verificar y revisar las actualizaciones para el primer trimestre de 2021. Si bien las auditorías aún no pueden garantizar el riesgo total, han demostrado ser útiles para identificar problemas potenciales.

Verificar contrato

El proyecto también ha trabajado con Certora para comenzar a verificar oficialmente las diversas propiedades de seguridad de los contratos. Ayudarán a definir un conjunto automatizado de reglas para garantizar que los contratos cumplan con las especificaciones. Estas pruebas se ejecutarán como parte del proceso de CI para evitar futuros errores que puedan romper la especificación antes mencionada.

Herramientas automatizadas

El proyecto ahora verifica automáticamente los errores comunes en cada cambio de código. Además, el equipo está ejecutando la prueba de fuzzing de Echidna manualmente en cada solicitud de contrato de extracción. Estas comprobaciones pueden detectar y advertir automáticamente sobre problemas de seguridad comunes. Además, el proyecto también amplía en gran medida su conjunto de pruebas para garantizar la seguridad del código.

Medidas y procedimientos de seguridad avanzados

Los artículos de relaciones públicas relacionados con los contratos ahora se probarán con más rigor que antes. Habrá dos ingenieros por RP contratado y el proceso será lento para garantizar revisiones exhaustivas, con listas de verificación detalladas asociadas con cada RP.

El equipo pasó una semana enfocándose en la seguridad del contrato y realizando auditorías internas. Y en un futuro cercano también habrá una semana de problemas de seguridad similares.

Además, el proyecto ha contado oficialmente con un equipo de ingenieros para revisar los ataques a otros proyectos y se sumergirá en cada una de estas revisiones, incluido el análisis del código fuente del propio contrato afectado.

El proyecto ahora tiene monitoreo automático en Discord para transacciones grandes y transacciones fallidas. Con la función de pausa rápida recientemente agregada, que permite a dos titulares de firmas múltiples pausar la acuñación y el canje para reaccionar más rápido a los incidentes y, con suerte, reducir el tamaño de cualquier vulnerabilidad. 

Y, por supuesto, recompensas por errores con montos de hasta $ 250,000.

Seguro DeFi

El proyecto busca trabajar con Nexus Mutual, Cover Protocol y otros proveedores de seguros para brindar cobertura de DeFi a los titulares de OUSD. Origin tiene la intención de desplegar un capital sustancial como proveedor de seguros inicial. Se compartirán más detalles en un futuro próximo.

Futuro de OUSD

Es difícil recuperar la confianza de la gente cuando OUSD fue pirateado poco después del lanzamiento. Sin embargo, con una actitud de trabajo y responsabilidad con la comunidad, creo que el proyecto se desarrollará bien en el futuro.