Что сделал Origin Protocol после взлома OUSD?

Статья была переведена на носитель Origin Protocol, чтобы информировать вас о том, что команда сделала и сделает после последнего взлома.

Origin Protocol приложил огромные усилия, чтобы вернуть OUSD — интересный проект сообществу. Хотя этот период времени невелик, это не означает, что команда работала легко, чтобы перезапустить OUSD, несмотря ни на что. Следующая статья составлена ​​на основе протокола Origin, чтобы предоставить вам информацию о том, что команда сделала и сделает после последнего взлома.

Вещи, которые сделал Origin Protocol

Фактически, указанную выше ошибку нужно исправить только с помощью одной строки кода, которую можно исправить немедленно. Однако вместо того, чтобы просто изменить код, проект потратил больше времени, чем на тщательное изучение всех процессов.

Прежде всего, команда исправила проверку проверки устройства, а также добавила проверки повторного входа в хранилище OUSD, чтобы предотвратить использование подобных ошибок в будущем. 

Кроме:

Аудит

Когда произошел ноябрьский взлом, Trail of Bits все еще находился в процессе аудита OUSD. Они завершили аудит и выявили несколько незначительных проблем, кроме одной серьезной ошибки. В то время команда работала над каждой проблемой, которую они выделили.

В настоящее время проект завершил 2 аудита, а также исправил несколько мелких ошибок, обнаруженных командой в ходе этого процесса. Кроме того, команда решила найти вторую аудиторскую компанию, чтобы представить другую точку зрения. Над проектом работала компания Solidified, которая рассмотрела всю систему, а также новый договор о ставках и компенсациях проекта, который Trail of Bits еще не тестировал.

• Аудит Trail of Bits OUSD
• Утвержденный аудит OUSD
• Утвержденный аудит OGN

Команда также планирует провести аудит вместе с OpenZeppelin, чтобы проверить и просмотреть обновления за первый квартал 2021 года. Хотя аудиты по-прежнему не могут гарантировать полный риск, они оказались полезными для выявления потенциальных проблем.

Подтвердить контракт

Проект также сотрудничал с Certora, чтобы начать официальную проверку различных свойств безопасности контрактов. Они помогут определить автоматизированный набор правил для обеспечения соответствия контрактов спецификациям. Эти тесты будут выполняться как часть процесса CI, чтобы избежать будущих ошибок, которые могут нарушить вышеупомянутую спецификацию.

Автоматизированные инструменты

Теперь проект автоматически проверяет распространенные ошибки при каждом изменении кода. Кроме того, команда запускает фаззинг-тест Echidna вручную для каждого запроса на вытягивание контракта. Эти проверки могут автоматически обнаруживать и предупреждать о распространенных проблемах безопасности. Кроме того, проект также значительно расширяет набор тестов для обеспечения безопасности кода.

Расширенные меры и процедуры безопасности

PR-статьи, связанные с контрактами, теперь будут проверяться более тщательно, чем раньше. На каждого контрактного PR будет два инженера, и процесс будет медленным, чтобы обеспечить тщательные проверки с подробными контрольными списками, связанными с каждым PR.

Команда потратила неделю на обеспечение безопасности контрактов и проведение внутренних аудитов. А в ближайшее время тоже будет неделя подобных вопросов безопасности.

Кроме того, у проекта официально есть команда инженеров для проверки атак на другие проекты, и они будут углубляться в каждую из этих проверок, включая просмотр исходного кода самого контракта.

Теперь у проекта есть автоматический мониторинг в Discord крупных транзакций и неудачных транзакций. С недавно добавленной функцией быстрой паузы, позволяющей двум держателям мультиподписей приостанавливать выпуск и погашение, чтобы быстрее реагировать на инциденты и, как мы надеемся, уменьшить размер любых уязвимостей. 

И, конечно же, вознаграждение за обнаружение ошибок на сумму до 250 000 долларов.

Страхование DeFi

Проект рассчитывает на сотрудничество с Nexus Mutual, Cover Protocol и другими страховыми компаниями, чтобы обеспечить покрытие DeFi держателям OUSD. Origin намеревается задействовать значительный капитал в качестве первоначального поставщика страховых услуг. Более подробная информация будет опубликована в ближайшее время.

Будущее OUSD

Трудно вернуть доверие людей, когда OUSD был взломан вскоре после запуска. Тем не менее, с рабочим отношением, а также ответственностью перед сообществом, я верю, что проект будет хорошо развиваться в будущем.