DeFi可以说是一个已经被大规模退出骗局(exit scams)、模因币(MemeCoins)和月光男孩(moonboys)破坏的空间。在这个空间里,仅2022年DeFi黑客攻击事件涉事资金就已经超过20亿美元。对于在新兴区块链行业寻找增长机会的聪明投资者来说,这是一个无法接受的风险。

到目前为止,许多主流区块链项目都认为,大规模黑客攻击、利用漏洞进行的攻击和事故的出现,是遵循「代码就是法律」设计理念不可避免的后果。 由于在如何应对此类事件方面出现了分歧,行业中不止一个区块链网络因此而分裂。

加密行业的人们已经开始意识到,让攻击者肆意妄为并左右网络的意志,不仅不利于业务发展,更不利于维护社区情绪。

面对这一问题,除非可以减轻这些风险,否则我们所期望的DeFi产品在主流社会的大规模应用就不会发生。 幸运的是,EOS有了一个解决方案。

Recover+ 解决方案

Recover+(R+)是一个网络安全门户和针对紧急情况的快速响应计划。它旨在通过漏洞赏金和白帽奖励等方式来保护EOS DeFi项目及其用户。它还为生态提供了一个途径,在发生恶意黑客攻击时,项目方和利益相关者能够迅速采取行动,追回被盗资金。

R+还为EOS网络构建了一种新型的DeFi保险层,EOS上的项目开发人员可以选择加入并获取有价值的工具和信息。 参与该计划的人员还可以与专业的安全专家建立联系,他们将协助协调对黑客事件的全面响应。

在发生黑客攻击的情况时,R+提供了一个正式的快速响应流程,通过这个流程,EOS区块生产者(BPs)可以得到有关黑客攻击事件的彻底分析和验证的相关信息。通过R+的这种新的标准信息流,BPs能够充分掌握攻击情况的所有细节并迅速采取行动。必要时,他们可以利用EOS账户权限的独特属性和DPoS共识算法,迅速做出反应并恢复受损资金。

发现、响应、恢复 | Recover+:护航EOS安全新形式

更高收益,更高安全性

除了Recover+,EOS最近还推出了Yield+

Yield+是一个基于EOS生态的流动性激励计划,旨在推动EOS DeFi发展。随着EOS DeFi的繁荣发展,Yield+为黑客和用户创造了一个越来越有吸引力的资金体量。随着不断增长的资金在产生收益的DeFi智能合约、桥梁等组成的生态系统中流动,Recover+在该系统中可以发挥至关重要的作用。

Yield+和Recover+两者一起形成了一对互补的项目,齐心协力支持EOS生态系统的发展。Yield+的目的是增加EOS的TVL,而R+的任务是保护这一价值资金的安全性。

为了发挥Yield+和Recover+的协作效果,想要申请加入Yield+计划的DeFi协议必须在Recover+进行注册,因此参与Yield+的DeFi协议不仅会有最高的收益率,而且也是最安全的。

防止「监守自盗」发生

狡猾的黑客并不是对用户资金的唯一威胁。正如我们在行业中一再看到的那样,内部人员可能会受到诱惑,带着他们负责保护的资金跑掉,这就像狐狸看守着鸡舍一样。

因此,在申请参与Recover+时会有KYC要求,这为DeFi协议增加了身份、信誉以及最终的问责制,这有助于保护用户免受拉拢或内部工作的影响。

此外,一些更复杂设计的攻击计划也会因为Recover+的存在而被挫败。最近发生的 「一个Solana生态稳定币交易Saber所构建的复杂去中心化金融(DeFi)服务网络」创造的TVL的假象,就是一个非常生动的例子。这些漏洞依赖于假身份和欺骗,但这些在一个奖励透明度和问责制的生态系统中是不可能存在的。

EOS生态恢复被盗资金简史回顾

与更广泛的行业所面临的环境一样,EOS和相关桥梁上的DeFi智能合约在过去也会遭遇一些重大的黑客攻击。这些入侵事件成为研究案例,来证明像EOS这样的DPoS网络可以选择以保护用户为首任的方式来应对危机。

黑客攻击等安全事件迫使EOS社区深入考虑网络建设者所设想的 「代码就是法律」的设计理念。这一切的实现基础,得益于EOS独特的账户权限结构和DPoS共识算法。

Vaults.sx漏洞攻击

2021年5月14日,黑客利用flash.sx智能合约上的一个重入漏洞(re-entry)对vaults.sx智能合约进行攻击,导致约 118 万 EOS 和 46 万 USDT被盗。

面对这一情况,EOS Nation和EOS BPs之间共同协作,与攻击者展开斡旋:黑客将资产转移入246个新建账户中准备进行进一步洗钱和逃逸。EOS Nation通过EOS治理系统发起了黑客事件治理提案并获得了15名出块节点的支持,冻结了黑客的所有246个新账户,随后黑客对其造成的所有麻烦公开道歉,并在随后的几周内完成了资产的归还。

这篇Vaults.sx回顾性博客文章介绍了关于SX.vault黑客事件的简要时间线和相关想法。

eCurve和PIZZA借贷攻击

另一起事件发生在2021年12月8日,黑客利用eCurve的溢出漏洞,铸造了无限的tripool LP,并抽干了相应的流动性资金池。因为tripool LP代币是PIZZA平台的有效抵押品,该黑客还通过质押贷款抽干了PIZZA金库的资金。两个平台共计约1000万美元的代币资产被盗。随后,攻击者在短时间内创建了137万个EOS账户以进一步进行洗钱和逃逸。

面对这一紧急情况,PIZZA迅速采取行动,核实所有涉及账户,与所有受影响的各方合作,并开始拟写一份多签提案,希望通过EOS治理系统以冻结约137万个黑客账户。

在此期间,黑客要求300万美元的赎金,并威胁说如果BP试图限制他的账户,他将把所有被盗资金发送给正常用户。PIZZA联系了21个BPs,并决定继续推进限制账户的提案。黑客注意到提案投票正在进行中,再次重复了他们的威胁,即把所有资金重新分配到正常用户的账户上。

黑客、PIZZA和EOS BPs之间的谈判持续了4个小时,此时21个BPs中已经有15个批准了限制账户的提案,黑客最终选择妥协,接受了50万美元赎金的提议,双方在接下来的几周内完成了交易和资产归还工作。

PIZZA在其Medium上发布了一篇文章以介绍这一事件的经过和最终结果。

Recover+发展关键点

伴随着Recover+工作组的成立,才有了Recover+蓝皮书的起草和Recover+安全门户网站的创建,Recover+的诞生源于生态早期对网络上重大漏洞事件应对措施的深入思考和回顾分析,并总结了它们的不足之处和成功之处。

此前,相关防范工具是可用的,但基于EOS的DeFi项目并没有普遍可用的方法来应对这种攻击。正是看到了这一点,Recover+的设计师们开始设计一个对所有EOS DeFi项目和代币持有人同样可用的应急处理系统,Recover+就这样诞生了。

发现、响应、恢复 | Recover+:护航EOS安全新形式

Recover+的可持续发展规划和采用

Recover+正在为个人项目、白帽黑客和EOS网络本身建立一个更好的未来奠定必要的基础。这是一个蓬勃发展的未来,摆脱了对智能合约漏洞的持续恐惧。

发现、响应、恢复 | Recover+:护航EOS安全新形式

在撰写本报告时,Recover+正在为19个项目提供服务,总TVL为4700万美元。该团队定期在测试网络上进行实践运行,如firerills。Recover+提供漏洞赏金,并继续为任何可能发生的情况做着充分准备。

通过改善主要EOS区块生产者和项目开发者之间的沟通,Recover+将为建立在EOS网络上的项目创造一个更安全和更可靠的企业环境。

关于EOS

EOS网络是区块链3.0时代的典范之作,由EOS VM提供支持。EOS VM是一个低延迟、高性能和可扩展的WebAssembly引擎,能够近乎无感的实现确定性交易执行。EOS网络专为Web 3设计,致力于实现最佳的Web 3用户和开发人员体验。EOS是EOSIO协议的旗舰区块链和金融中心,并通过EOS网络基金会(ENF)作为多链协作和发展公共基础产品的工具,进一步完善基础设施,驱动EOS快速发展。

EOS网络基金会

EOS网络基金会是一个非营利性的组织,旨在倾听社区声音、传达社区意愿并扶持社区优质项目发展,成为EOS社区的信息共享桥梁,并为EOS生态提供资金、技术、运营、未来规划、生态构建等关键基础设施支持,进一步发挥EOS作为世界速度最快的治理型区块链的全部潜力。

发现、响应、恢复 | Recover+:护航EOS安全新形式