Co zrobił Origin Protocol po zhakowaniu OUSD?

Artykuł został przetłumaczony na nośniku Origin Protocol, aby poinformować Cię o tym, co zespół zrobił i zrobi po ostatnim włamaniu.

Origin Protocol dołożył wszelkich starań, aby przywrócić społeczności OUSD - interesujący projekt. Chociaż ten czas to niewiele, nie oznacza to, że zespół pracował lekko nad ponownym uruchomieniem OUSD. Poniższy artykuł został skompilowany na nośniku Origin Protocol, aby pokazać, co zespół zrobił i zrobi po ostatnim włamaniu.

Rzeczy, które zrobił protokół Origin

W rzeczywistości powyższy błąd należy naprawić tylko jednym wierszem kodu, który można natychmiast naprawić. Jednak zamiast tylko zmieniać kod, projekt poświęcił więcej czasu na analizę wszystkich procesów.

Przede wszystkim zespół naprawił kontrolę walidacji urządzenia, a także dodał kontrolę ponownego wejścia do Krypty OUSD, aby zapobiec wykorzystywaniu podobnych błędów w przyszłości. 

Oprócz:

Rewizja

Kiedy doszło do listopadowego hacka, Trail of Bits wciąż był w trakcie audytu OUSD. Zakończyli audyt i zidentyfikowali kilka drobnych problemów oprócz jednego poważnego błędu. W tym czasie zespół pracował nad każdym wyróżnionym problemem.

Obecnie projekt zakończył 2 audyty, wraz z naprawieniem kilku drobnych błędów, które zespół odkrył podczas tego procesu. Ponadto zespół postanowił znaleźć drugą firmę audytorską, aby przedstawić inną perspektywę. Projekt współpracował z firmą Solidified, która dokonała przeglądu całego systemu, a także nowej umowy dotyczącej tyczenia i rekompensaty projektu, której Trail of Bits jeszcze nie przetestował.

• Audyt szlaku bitów OUSD
• Utrwalony audyt OUSD
• Utrwalony audyt OGN

Zespół planuje również przeprowadzić audyt z OpenZeppelin, aby sprawdzić i przejrzeć aktualizacje na 1 kwartał 2021 r. Chociaż audyty nadal nie mogą zagwarantować pełnego ryzyka, okazały się przydatne w identyfikacji potencjalnych problemów.

Zweryfikuj umowę

W ramach projektu współpracowano również z firmą Certora, aby rozpocząć oficjalną weryfikację różnych właściwości bezpieczeństwa umów. Pomogą zdefiniować zautomatyzowany zestaw reguł, aby zapewnić zgodność umów ze specyfikacjami. Testy te będą przeprowadzane w ramach procesu CI, aby uniknąć przyszłych błędów, które mogłyby złamać wspomnianą specyfikację.

Zautomatyzowane narzędzia

Projekt teraz automatycznie sprawdza pod kątem typowych błędów przy każdej zmianie kodu. Ponadto zespół przeprowadza ręcznie test fuzzingu Echidna przy każdym żądaniu umowy pull. Te testy mogą automatycznie wykrywać i ostrzegać o typowych problemach z zabezpieczeniami. Ponadto projekt znacznie rozszerza swój zestaw testów, aby zapewnić bezpieczeństwo kodu.

Zaawansowane środki i procedury bezpieczeństwa

Artykuły PR związane z kontraktami będą teraz testowane bardziej rygorystycznie niż dotychczas. W każdym PR kontraktowym będzie dwóch inżynierów, a proces będzie powolny, aby zapewnić dokładne przeglądy, ze szczegółowymi listami kontrolnymi powiązanymi z każdym PR.

Zespół spędził tydzień skupiając się na bezpieczeństwie kontraktów i przeprowadzaniu audytów wewnętrznych. A w niedalekiej przyszłości będzie też tydzień podobnych problemów z bezpieczeństwem.

Ponadto projekt oficjalnie posiada zespół inżynierów, którzy analizują ataki na inne projekty i zagłębią się w każdą z tych recenzji, w tym przyjrzymy się kodowi źródłowemu samego kontraktu.

Projekt ma teraz automatyczne monitorowanie na Discord dla dużych transakcji i nieudanych transakcji. Dzięki nowo dodanej funkcji szybkiej pauzy, która pozwala dwóm posiadaczom multi-sig na wstrzymanie wybijania i odkupywania, aby szybciej reagować na incydenty i, miejmy nadzieję, zmniejszyć rozmiar wszelkich luk w zabezpieczeniach. 

I oczywiście nagrody za błędy o wartości do 250 000 USD.

Ubezpieczenie DeFi

Projekt ma na celu współpracę z Nexus Mutual, Cover Protocol i innymi ubezpieczycielami, aby zapewnić ochronę DeFi posiadaczom OUSD. Origin zamierza zaangażować znaczny kapitał jako początkowy ubezpieczyciel. Więcej szczegółów podamy w niedalekiej przyszłości.

Przyszłość OUSD

Trudno odzyskać zaufanie ludzi, gdy OUSD zostało zhakowane wkrótce po uruchomieniu. Wierzę jednak, że dzięki podejściu do pracy i odpowiedzialności za społeczność, projekt będzie się dobrze rozwijał w przyszłości.