如果有比出现突发安全状况更糟糕的事情,那一定会是面对紧急情况,我们却不知道该怎么做才好。因此,EOS网络基金会赞助成立Recover+核心工作组,为生态提供面对紧急情况时,应该采取的正确缓解策略、应急响应协议,以及针对EOS网络上的黑客和漏洞的最佳实践案例。

在现实生活中,如果发生了严重的事故,我们很清楚需要做什么,比如拨打110、120等紧急服务电话等。但如果你的智能合约或DApp被人利用了呢?如果黑客正在实时窃取你的资产呢?在区块链的世界里,面对这种突发事故,很多项目方都无从下手解决。因此,我们认为项目方有必要知道该采取什么措施,以便在紧急情况发生时可以游刃有余的应对。

2022年2月1日,由EOS网络基金会赞助成立的Audit+ 核心工作组发布蓝皮书,其中提出了各个方面的详尽举措,以进一步确保合约和代码更可信和更安全,防止出现漏洞被黑客利用。

但我们知道, 无论开发人员在编写智能合约时有多小心, 即使智能合约经过顶级安全公司的审计,也没有代码是完美无缺的,而且有些漏洞在被利用之前是不为人知的。

因此,Recover+ 核心工作组应运而生。Recover+ 可以被视为 Audit+ 的补充工作组,该工作组的主要工作内容是:在出现紧急安全情况时,为项目方提供解决问题的最佳实践和处理程序。

此外,面对不断变化升级的安全攻击和漏洞威胁,项目、企业甚至监管机构都需要时刻做好准备,并且应该建立一个可验证的标准化的强大方法,进一步护航项目和用户数据/资产安全。

为了赋予 EOS 生态更强大的创新动力,我们必须重视安全问题。EOS 网络基金会已承诺提供各种方法和渠道,确保具有专业知识的人可以尽其所能,为 EOS 生态系统增加额外价值。

对于曾经的EOS生态而言,全系统的资助和资源调度曾经是海市蜃楼的期望,但在EOS网络基金会的领导下,这一奢望已经开始变为现实,EOS网络基金会赞助的六大工作组就是典型的例子。

六个核心工作组中,四个工作组正在或已经完成蓝皮书(研究论文)的撰写,详细说明了EOS生态在各领域的现状和目标,并提出切实可行的实现策略。

与首批赞助的工作组不同的是,Recover+除了文档和研究之外, 还将提供实际产品。

Recover+核心工作组详情

PIZZA.FINANCE团队的领导下,Recover+工作组旨在为EOS创建一个危机管理框架。为了实现这一目标,该框架内容拟包括制定紧急合约、协议、指南(包括在紧急情况下采取的步骤)、常见问题解答以及在漏洞发生后应该立即联系谁寻求帮助和支持的建议。

Recover+ 可能提出的一些额外建议包括 DAO 保险和潜在奖励,以帮助 EOS 各方更有效地应对丢失或被盗的资产。 所有这些可交付成果都可以通过基于 Web 的用户友好界面网站中轻松访问获得。

PIZZA.FINANCE团队非常适合领导Recover+工作组,因为他们不仅在DeFi方面拥有丰富专业知识,并且在最近多个DeFi项目中发生漏洞后,PIZZA.FINANCE多次帮助项目恢复被盗数字资产,在危机处理方面也拥有丰富的实操经验。

2021年第四季度,eCurve智能合约发生漏洞,自称为「itsspiderman」的匿名黑客,首先利用eCurve漏洞铸造无限数量的流动性池(LP)代币,获得目标eCurve资金池中所有可用的流动性,然后用Pizza Lend进行抵押。一旦抵押,任何有价值的代币都可以用无限的「TRIPOOL」抵押品进行借贷。此外,黑客还在极短的时间内创建了一百三十余万个账户用于分散资金,这虽然体现了EOS网络的强大性能,但也进一步增加挽回损失的难度。

在非EOSIO生态系统,这样的漏洞一旦发生几乎无法挽回,但在EOS网络上,有一个在技术上是可行的传统功能,即前21个出块节点可以一起将黑客账户列入「黑名单」,停止并封锁该账户的所有交易。

然而,号召21个动态区块生产者保持一致将黑客账户列入「黑名单」是非常困难的,因为如果21个节点中任何一个节点不遵守「黑名单」约定,那么被封锁账户将有机会进行交易。这也是EOS网络的一个特点,因为达成共识的困难程度大,所以审查变得极其困难,除非21个出块节点始终保持100%的共识。

EOSIO网络系统的另一种挽救方法是:在21个节点之间达成 15/21 的共识,通过更改黑客账户的权限结构来限制黑客账户。 在 EOSX Vault 漏洞利用之后,该方法执行过一次,并成功追回被盗的 1300 万美元资产。

在「itsspiderman」黑客攻击期间,PIZZA 尝试使用这两种方法,在接下来的几天里与时间赛跑,极力追回被盗的资金,并开发了自定义工具和脚本来协助工作。

在黑客注意到 PIZZA 的开发工具被部署在链上后,便立即开始使用 EOS 的链上Memo(备忘录)系统与 PIZZA 进行谈判,PIZZA 同意支付赎金以换取其余被盗资金。 PIZZA最终保全了用户资产,然后将收回的资产转移到 eCurve。

点击此处:与Pizza创始人官某一起回顾Pizza黑客攻击事件始末

这次攻击,让更多人意识到,生态非常需要一套更标准化的方法来应对紧急安全状况。EOS上的大多数项目开发者和DAO都没有处理这些类型的攻击的经验,也根本没有能力应对这些攻击。

Recover+的主要目标之一是为EOS上的项目提供洞察力,使其了解在发生攻击时,我们该如何应对和恢复被盗账户等一系列应该采取的措施。

基于「上帝模式」的执行标准和流程

Recover+工作的另一个重要方面是,定义如何以最佳方式处理经常被批评但很少被真正理解的「上帝模式」。许多人认为,节点有权利封锁账号,这种「上帝模式」下,部分节点有可能有作恶的机会,因为他们有权决定与生态利益不一致、不科学甚至可能是惩罚性和没有追索权的行为。在「上帝模式」下,节点的决策方式可能产生不透明、不确定性和不信任等问题。

Recover+工作组还将制定申请和批准账户冻结的标准和程序。 Recover+正计划拟定标准流程,帮助项目方了解如何在黑客攻击期间更改账户授权,并将定义项目如何及时与节点沟通的最佳方式。 Recover+工作组也将帮助节点提高决策质量,并减少达成共识所需的时间。

另外,Recover+工作组将创建一个 Recover+ 网站,作为连接节点和项目方的信息桥梁,为各方建立标准化方法和最佳实践,该网站包括相关指南、项目审核状态、常见问题解答、紧急联系方式等各类重要信息。 这个门户网站就类似用于处理 EOS 紧急情况的911电话。

更多精彩值得期待

如上所述,最重要的想法是为 EOS 项目创建一种 DAO 保险形式以供选择,这将最大限度地减少潜在和解的不利影响,不仅可以保障项目安全,还可以促进更准确的安全规划,例如,可以预测年度安全保险的费用等。

鉴于DAO保险形式的复杂性,该方向的探索工作将在工作组的第二阶段进行。近期的首要工作是,Recover+ 将发布研究内容,概述解决 EOS 面临的最紧迫的安全问题的路线图,以及项目应该做些什么来更好地保护自己和网络的安全。

参与进来

与所有赞助的工作组一样,EOS网络基金会希望确保完全透明,并欢迎 EOS 社区通过参与我们的 Discord 频道做出贡献。来自社区和生态成员的建议将有助于我们凝聚 EOS 社区的智慧和独创性,并利用科学合理的资源配置和资金支持将这些创新转化为现实世界的项目,从而进一步繁荣EOS生态,将 EOS 逐步变成我们所期望的样子。

关于EOS

EOS网络是区块链3.0时代的典范之作,由EOS VM提供支持。EOS VM是一个低延迟、高性能和可扩展的WebAssembly引擎,能够近乎无感的实现确定性交易执行。EOS网络专为Web 3设计,致力于实现最佳的Web 3用户和开发人员体验。EOS是EOSIO协议的旗舰区块链和金融中心,并通过EOS网络基金会(ENF)作为多链协作和发展公共基础产品的工具,进一步完善基础设施,驱动EOS快速发展。

EOS网络基金会

EOS网络基金会是一个非营利性的组织,旨在倾听社区声音、传达社区意愿并扶持社区优质项目发展,成为EOS社区的信息共享桥梁,并为EOS生态提供资金、技术、运营、未来规划、生态构建等关键基础设施支持,进一步发挥EOS作为世界速度最快的治理型区块链的全部潜力。