Qua fait Origin Protocol après le piratage de lOUSD ?

L'article a été traduit sur le support d'Origin Protocol pour vous tenir au courant de ce que l'équipe a fait et fera après le dernier hack.

Origin Protocol a fait un grand effort pour rendre OUSD - un projet intéressant à la communauté. Bien que cette période de temps ne soit pas beaucoup, cela ne signifie pas que l'équipe a travaillé à la légère pour relancer OUSD malgré tout. L'article suivant est compilé sur le support d'Origin Protocol pour vous fournir ce que l'équipe a fait et fera après le dernier hack.

Ce que le protocole d'origine a fait

En fait, l'erreur ci-dessus ne doit être corrigée qu'avec une seule ligne de code qui peut être corrigée immédiatement. Cependant, au lieu de simplement changer le code, le projet a passé plus de temps à examiner tous les processus.

Tout d'abord, l'équipe a corrigé le contrôle de validation de l'appareil, ainsi que l'ajout de contrôles de réentrance au coffre-fort OUSD pour empêcher que des bogues similaires ne soient exploités à l'avenir. 

Outre:

Audit

Lorsque le piratage de novembre s'est produit, Trail of Bits était encore en train d'auditer OUSD. Ils ont terminé l'audit et identifié quelques problèmes mineurs en dehors d'un bogue majeur. À cette époque, l'équipe travaillait sur chaque problème qu'elle mettait en évidence.

Actuellement, le projet a réalisé 2 audits, ainsi que la correction de quelques bogues mineurs que l'équipe a découverts au cours de ce processus. De plus, l'équipe a décidé de trouver une deuxième société d'audit pour apporter une perspective différente. Le projet a travaillé avec Solidified, qui a revu l'ensemble du système ainsi que le nouveau contrat de jalonnement et de compensation du projet, que Trail of Bits n'a pas encore testé.

• Audit Trail of Bits OUSD
• Audit OUSD solidifié
• Audit OGN solidifié

L'équipe prévoit également d'effectuer un audit avec OpenZeppelin pour vérifier et examiner les mises à jour pour le premier trimestre 2021. Bien que les audits ne puissent toujours pas garantir l'intégralité des risques, ils se sont avérés utiles pour identifier les problèmes potentiels.

Vérifier le contrat

Le projet a également travaillé avec Certora pour commencer à vérifier officiellement les différentes propriétés de sécurité des contrats. Ils aideront à définir un ensemble automatisé de règles pour garantir que les contrats répondent aux spécifications. Ces tests seront exécutés dans le cadre du processus CI pour éviter de futurs bugs qui pourraient casser la spécification susmentionnée.

Outils automatisés

Le projet vérifie désormais automatiquement les erreurs courantes à chaque changement de code. En outre, l'équipe exécute manuellement le test de fuzzing Echidna sur chaque demande de contrat d'extraction. Ces vérifications peuvent automatiquement détecter et avertir des problèmes de sécurité courants. De plus, le projet étend également considérablement sa suite de tests pour assurer la sécurité du code.

Mesures et procédures de sécurité avancées

Les articles de relations publiques liés aux contrats seront désormais testés plus rigoureusement qu'auparavant. Il y aura deux ingénieurs par contrat PR, et le processus sera lent pour assurer des examens approfondis, avec des listes de contrôle détaillées associées à chaque PR.

L'équipe a passé une semaine à se concentrer sur la sécurité des contrats et à mener des audits internes. Et dans un avenir proche, il y aura également une semaine de problèmes de sécurité similaires.

De plus, le projet a officiellement eu une équipe d'ingénieurs pour examiner les attaques sur d'autres projets et se plongera dans chacun de ces examens, y compris en examinant le code source du contrat lui-même affecté.

Le projet dispose désormais d'une surveillance automatique sur Discord pour les transactions importantes et les transactions échouées. Avec la fonction de pause rapide nouvellement ajoutée, permettant à deux détenteurs de plusieurs signatures de suspendre la frappe et l'échange afin de réagir plus rapidement aux incidents et, espérons-le, de réduire la taille de toute vulnérabilité. 

Et bien sûr des primes de bogue avec des montants allant jusqu'à 250 000 $.

Assurance DeFi

Le projet cherche à travailler avec Nexus Mutual, Cover Protocol et d'autres fournisseurs d'assurance pour fournir une couverture DeFi aux détenteurs d'OUSD. Origin a l'intention de déployer un capital substantiel en tant que fournisseur d'assurance initial. Plus de détails seront partagés dans un proche avenir.

L'avenir de l'OUSD

Il est difficile de regagner la confiance des gens lorsque OUSD a été piraté peu de temps après son lancement. Cependant, avec une attitude de travail ainsi qu'une responsabilité envers la communauté, je crois que le projet se développera bien à l'avenir.