Origin Protocol đã làm gì sau đợt hack OUSD?
Origin Protocol đã nỗ lực một cách tuyệt vời để OUSD - một dự án thú vị quay trở lại với cộng đồng. Dù khoảng thời gian này không nhiều, nhưng không có nghĩa là team làm việc hời hợt để relaunch OUSD một cách bất chấp. Bài viết sau đây được lược dịch trên medium của Origin Protocol nhằm cung cấp cho anh em những việc team đã và sẽ làm sau đợt hack vừa rồi.
Anh em có thể đọc thêm bài viết sau đây nếu chưa biết về vụ việc bị tấn công của OUSD: ousd đã bị tấn công và 1 phần quỹ đã bị hack
Những việc Origin Protocol đã làm
Thật ra, lỗi trên chỉ cần fix một dòng code là có thể sửa được ngay. Tuy nhiên, thay vì chỉ thay đổi code, dự án đã dùng nhiều thời gian hơn sau đó để xem xét kỹ lưỡng tất cả các quy trình.
Trước hết, team đã fix validation check bị thiết, cùng với thêm reentrancy checks vào OUSD Vault để ngăn lỗi tương tự trong tương lai có thể bị khai thác.
Ngoài ra:
Audit
Khi đợt hack tháng 11 xảy ra, Trail of Bits đang vẫn đang trong quá trình audit OUSD. Họ đã hoàn thành audit và xác định một số vấn đề nhỏ ngoài một lỗi nghiêm trọng. Lúc đó, team đang giải quyết từng vấn đề mà họ đã nêu bật.
Hiện tại dự án đã hoàn thành 2 lần audits, cùng với việc sửa một vài lỗi nhỏ mà team đã phát hiện ra trong quá trình này. Ngoài ra, team quyết định tìm thêm một công ty audit thứ hai để cung cấp một cái nhìn khác. Dự án đã làm việc với Solidified, người đã xem xét toàn bộ hệ thống cũng như staking và compensation contract mới của dự án, thứ mà Trail of Bits chưa kiểm tra qua.
Team cũng đang dự định audit với OpenZeppelin để kiểm tra, xem xét các update cho Q1/2021. Mặc dù các cuộc audit vẫn không thể đảm bảo hết rủi ro, nhưng chúng đã được chứng minh là hữu ích trong xác định các vấn đề tiềm ẩn.
Xác minh contract
Dự án cũng đã làm việc với Certora để bắt đầu chính thức xác minh các thuộc tính bảo mật khác nhau của các contracts. Họ sẽ giúp xác định một bộ quy tắc tự động để đảm bảo các contracts đáp ứng các thông số kỹ thuật. Các đợt kiểm tra này sẽ được chạy như một phần của quy trình CI để tránh được các lỗi trong tương lai có thể phá vỡ thông số kỹ thuật nói trên.
Công cụ tự động
Dự án hiện đã tự động kiểm tra các lỗi phổ biến trên mỗi lần thay đổi mã code. Ngoài ra, team đang chạy Echidna fuzzing test theo cách thủ công trên mỗi yêu cầu pull contract. Các kiểm tra này có thể tự động phát hiện và cảnh báo về các vấn đề bảo mật phổ biến. Ngoài ra, dự án cũng mở rộng rất nhiều bộ thử nghiệm của mình để đảm bảo an toàn cho code.
Các biện pháp và quy trình bảo mật nâng cao
Các bài PR có liên quan đến contracts bây giờ sẽ được kiểm tra khắt khe hơn trước. Sẽ có hai kỹ sư cho mỗi PR theo hợp đồng, và quá trình này sẽ làm thật chậm để đảm bảo các đánh giá được kỹ lưỡng, với danh sách kiểm tra chi tiết liên quan đến mỗi bài PR.
Team đã dành một tuần để tập trung vào vấn đề bảo mật contract và tiến hành các cuộc audit nội bộ. Và trong tương lai gần cũng sẽ có một tuần giải quyết các vấn đề bảo mật tương tự.
Bên cạnh đó, dự án đã chính thức có một đội ngũ kỹ sư để xem xét các cuộc tấn công vào các dự án khác và sẽ đi sâu vào từng bài đánh giá này, bao gồm cả việc tự mình xem xét mã nguồn của contract bị ảnh hưởng.
Dự án giờ đã có tự động giám sát trên Discord đối với các giao dịch lớn và các giao dịch không thành công. Với chức năng tạm dừng nhanh vừa được thêm, cho phép hai multi-sig holders tạm dừng minting & redeeming nhằm phản ứng nhanh hơn với các sự cố và hy vọng giảm quy mô của bất kỳ lỗ hổng nào.
Và dĩ nhiên là bug bounties với số tiền lên đên $250,000.
DeFi Insurance
Dự án đang tìm cách làm việc với Nexus Mutual, Cover Protocol và các nhà cung cấp bảo hiểm khác để cung cấp bảo hiểm DeFi cho chủ sở hữu OUSD. Origin dự định triển khai vốn đáng kể với tư cách là nhà cung cấp bảo hiểm ban đầu. Thông tin chi tiết sẽ được chia sẻ trong tương lai gần.
Tương lai của OUSD
Thật khó để lấy lại niềm tin của mọi người khi OUSD đã bị hack khi chỉ vừa ra mắt không bao lâu. Tuy nhiên, với thái độ làm việc cũng như trách nhiệm với cộng đồng, mình tin rằng dự án sẽ phát triển tốt trong tương lai.