Cosa ha fatto Origin Protocol dopo lhacking di OUSD?

L'articolo è stato tradotto sul supporto di Origin Protocol per aggiornarti su ciò che il team ha fatto e farà dopo l'ultimo hack.

Origin Protocol ha fatto un grande sforzo per restituire OUSD, un progetto interessante alla comunità. Sebbene questo periodo di tempo non sia molto, non significa che il team abbia lavorato alla leggera per rilanciare OUSD a prescindere. Il seguente articolo è compilato su supporto di Origin Protocol per fornirti ciò che il team ha fatto e farà dopo l'ultimo hack.

Cose che il protocollo di origine ha fatto

In effetti, l'errore precedente deve essere corretto solo con una riga di codice che può essere corretta immediatamente. Tuttavia, invece di modificare semplicemente il codice, il progetto ha dedicato più tempo a esaminare tutti i processi.

Prima di tutto, il team ha corretto il controllo di convalida del dispositivo, oltre ad aggiungere controlli di rientro all'OUSD Vault per evitare che bug simili venissero sfruttati in futuro. 

Oltretutto:

Audit

Quando si è verificato l'hacking di novembre, Trail of Bits era ancora in fase di auditing di OUSD. Hanno completato l'audit e identificato alcuni problemi minori oltre a un bug principale. A quel tempo, il team stava lavorando su ogni problema evidenziato.

Attualmente il progetto ha completato 2 audit, oltre a correggere alcuni bug minori che il team ha scoperto durante questo processo. Inoltre, il team ha deciso di trovare una seconda società di revisione per fornire una prospettiva diversa. Il progetto ha lavorato con Solidified, che ha esaminato l'intero sistema, nonché il nuovo contratto di staking e compensazione del progetto, che Trail of Bits non ha ancora testato.

• Audit Trail of Bits OUSD
• Audit OUSD consolidato
• Audit OGN consolidato

Il team ha anche in programma di eseguire un audit con OpenZeppelin per controllare e rivedere gli aggiornamenti per il primo trimestre del 2021. Sebbene gli audit non possano ancora garantire il rischio completo, si sono rivelati utili per identificare potenziali problemi.

Verifica contratto

Il progetto ha anche collaborato con Certora per avviare la verifica ufficiale delle varie proprietà di sicurezza dei contratti. Aiuteranno a definire un insieme automatizzato di regole per garantire che i contratti soddisfino le specifiche. Questi test verranno eseguiti come parte del processo CI per evitare bug futuri che potrebbero violare la specifica sopra menzionata.

Strumenti automatizzati

Il progetto ora verifica automaticamente la presenza di errori comuni a ogni modifica del codice. Inoltre, il team sta eseguendo manualmente il test di fuzzing di Echidna su ogni richiesta di contratto pull. Questi controlli possono rilevare e segnalare automaticamente problemi di sicurezza comuni. Inoltre, il progetto amplia notevolmente la propria suite di test per garantire la sicurezza del codice.

Misure e procedure di sicurezza avanzate

Gli articoli di PR relativi ai contratti verranno ora testati in modo più rigoroso rispetto a prima. Ci saranno due ingegneri per ogni PR contrattuale e il processo sarà lento per garantire revisioni approfondite, con liste di controllo dettagliate associate a ciascuna PR.

Il team ha trascorso una settimana concentrandosi sulla sicurezza del contratto e conducendo audit interni. E nel prossimo futuro ci sarà anche una settimana di problemi di sicurezza simili.

Inoltre, il progetto ha ufficialmente avuto un team di ingegneri per rivedere gli attacchi ad altri progetti e si analizzerà in ciascuna di queste revisioni, incluso l'esame del codice sorgente del contratto stesso.

Il progetto ora ha il monitoraggio automatico su Discord per transazioni di grandi dimensioni e transazioni non riuscite. Con la funzione di pausa rapida appena aggiunta, che consente a due titolari multi-sig di mettere in pausa il conio e il riscatto per reagire più rapidamente agli incidenti e, si spera, ridurre le dimensioni di eventuali vulnerabilità. 

E, naturalmente, ricompense di bug con importi fino a $ 250.000.

Assicurazione DeFi

Il progetto sta cercando di collaborare con Nexus Mutual, Cover Protocol e altri fornitori di assicurazioni per fornire copertura DeFi ai titolari di OUSD. Origin intende impiegare un capitale sostanziale come fornitore di assicurazione iniziale. Maggiori dettagli saranno condivisi prossimamente.

Futuro di OUSD

È difficile riconquistare la fiducia delle persone quando OUSD è stato violato poco dopo il lancio. Tuttavia, con un atteggiamento lavorativo oltre che una responsabilità verso la comunità, credo che il progetto si svilupperà bene in futuro.