O que o Origin Protocol fez após o hack do OUSD?

O artigo foi traduzido no meio do Origin Protocol para atualizá-lo sobre o que a equipe fez e fará após o último hack.

A Origin Protocol fez um grande esforço para devolver o OUSD - um projeto interessante à comunidade. Embora esse período de tempo não seja muito, isso não significa que a equipe trabalhou levemente para relançar a OUSD de qualquer maneira. O artigo a seguir foi compilado no meio do Origin Protocol para fornecer a você o que a equipe fez e fará após o último hack.

Coisas que o Origin Protocol fez

Na verdade, o erro acima só precisa ser corrigido com uma linha de código que pode ser corrigida imediatamente. No entanto, em vez de apenas alterar o código, o projeto gastou mais tempo do que examinando todos os processos.

Em primeiro lugar, a equipe corrigiu a verificação de validação do dispositivo, além de adicionar verificações de reentrância ao OUSD Vault para evitar que bugs semelhantes fossem explorados no futuro. 

Além do mais:

Auditoria

Quando o hack de novembro aconteceu, o Trail of Bits ainda estava em processo de auditoria de OUSD. Eles concluíram a auditoria e identificaram alguns problemas menores, além de um grande bug. Naquela época, a equipe estava trabalhando em cada questão que eles destacaram.

Atualmente, o projeto completou 2 auditorias, além de corrigir alguns pequenos bugs que a equipe descobriu durante esse processo. Além disso, a equipe decidiu encontrar uma segunda empresa de auditoria para fornecer uma perspectiva diferente. O projeto trabalhou com a Solidified, que revisou todo o sistema, bem como o novo contrato de staking e compensação do projeto, que a Trail of Bits ainda não testou.

• Auditoria de trilha de bits OUSD
• Auditoria OUSD solidificada
• Auditoria OGN solidificada

A equipe também planeja auditar com o OpenZeppelin para verificar e revisar as atualizações do primeiro trimestre de 2021. Embora as auditorias ainda não possam garantir o risco total, elas provaram ser úteis na identificação de possíveis problemas.

Verificar contrato

O projeto também trabalhou com a Certora para começar a verificar oficialmente as várias propriedades de segurança dos contratos. Eles ajudarão a definir um conjunto automatizado de regras para garantir que os contratos atendam às especificações. Esses testes serão executados como parte do processo de CI para evitar bugs futuros que possam quebrar a especificação mencionada acima.

Ferramentas automatizadas

O projeto agora verifica automaticamente os erros comuns em cada alteração de código. Além disso, a equipe está executando o teste de fuzzing Echidna manualmente em cada solicitação de contrato pull. Essas verificações podem detectar e avisar automaticamente sobre problemas comuns de segurança. Além disso, o projeto também expande bastante seu conjunto de testes para garantir a segurança do código.

Medidas e procedimentos avançados de segurança

Artigos de relações públicas relacionados a contratos agora serão testados com mais rigor do que antes. Haverá dois engenheiros por contrato PR, e o processo será lento para garantir revisões completas, com listas de verificação detalhadas associadas a cada PR.

A equipe passou uma semana se concentrando na segurança do contrato e na realização de auditorias internas. E em um futuro próximo também haverá uma semana de problemas de segurança semelhantes.

Além disso, o projeto teve oficialmente uma equipe de engenheiros para revisar os ataques a outros projetos e mergulhará em cada uma dessas revisões, incluindo a análise do código-fonte do próprio contrato.

O projeto agora tem monitoramento automático no Discord para transações grandes e transações com falha. Com a função de pausa rápida recém-adicionada, permitindo que dois detentores de várias assinaturas pausem a cunhagem e o resgate para reagir mais rapidamente a incidentes e, esperançosamente, reduzir o tamanho de quaisquer vulnerabilidades. 

E, claro, recompensas de bugs com valores de até US$ 250.000.

Seguro DeFi

O projeto pretende trabalhar com Nexus Mutual, Cover Protocol e outros provedores de seguros para fornecer cobertura DeFi aos detentores de OUSD. A Origin pretende aplicar capital substancial como provedor de seguros inicial. Mais detalhes serão compartilhados em um futuro próximo.

Futuro do OUSD

É difícil recuperar a confiança das pessoas quando o OUSD foi hackeado logo após o lançamento. No entanto, com uma atitude de trabalho e responsabilidade com a comunidade, acredito que o projeto se desenvolverá bem no futuro.