DeFi可以說是一個已經被大規模退出騙局(exit scams)、模因幣(MemeCoins)和月光男孩(moonboys)破壞的空間。在這個空間裡,僅2022年DeFi黑客攻擊事件涉事資金就已經超過20億美元。對於在新興區塊鏈行業尋找增長機會的聰明投資者來說,這是一個無法接受的風險。

到目前為止,許多主流區塊鏈項目都認為,大規模黑客攻擊、利用漏洞進行的攻擊和事故的出現,是遵循「代碼就是法律」設計理念不可避免的後果。由於在如何應對此類事件方面出現了分歧,行業中不止一個區塊鍊網絡因此而分裂。

加密行業的人們已經開始意識到,讓攻擊者肆意妄為並左右網絡的意志,不僅不利於業務發展,更不利於維護社區情緒。

面對這一問題,除非可以減輕這些風險,否則我們所期望的DeFi產品在主流社會的大規模應用就不會發生。幸運的是,EOS有了一個解決方案。

Recover+ 解決方案

Recover+(R+)是一個網絡安全門戶和針對緊急情況的快速響應計劃。它旨在通過漏洞賞金和白帽獎勵等方式來保護EOS DeFi項目及其用戶。它還為生態提供了一個途徑,在發生惡意黑客攻擊時,項目方和利益相關者能夠迅速採取行動,追回被盜資金。

R+還為EOS網絡構建了一種新型的DeFi保險層,EOS上的項目開發人員可以選擇加入並獲取有價值的工具和信息。參與該計劃的人員還可以與專業的安全專家建立聯繫,他們將協助協調對黑客事件的全面響應。

在發生黑客攻擊的情況時,R+提供了一個正式的快速響應流程,通過這個流程,EOS區塊生產者(BPs)可以得到有關黑客攻擊事件的徹底分析和驗證的相關信息。通過R+的這種新的標准信息流,BPs能夠充分掌握攻擊情況的所有細節並迅速採取行動。必要時,他們可以利用EOS賬戶權限的獨特屬性和DPoS共識算法,迅速做出反應並恢復受損資金。

發現、響應、恢復 | Recover+:護航EOS安全新形式

更高收益,更高安全性

除了Recover+,EOS最近還推出了Yield+

Yield+是一個基於EOS生態的流動性激勵計劃,旨在推動EOS DeFi發展。隨著EOS DeFi的繁榮發展,Yield+為黑客和用戶創造了一個越來越有吸引力的資金體量。隨著不斷增長的資金在產生收益的DeFi智能合約、橋樑等組成的生態系統中流動,Recover+在該系統中可以發揮至關重要的作用。

Yield+和Recover+兩者一起形成了一對互補的項目,齊心協力支持EOS生態系統的發展。 Yield+的目的是增加EOS的TVL,而R+的任務是保護這一價值資金的安全性。

為了發揮Yield+和Recover+的協作效果,想要申請加入Yield+計劃的DeFi協議必須在Recover+進行註冊,因此參與Yield+的DeFi協議不僅會有最高的收益率,而且也是最安全的。

防止「監守自盜」發生

狡猾的黑客並不是對用戶資金的唯一威脅。正如我們在行業中一再看到的那樣,內部人員可能會受到誘惑,帶著他們負責保護的資金跑掉,這就像狐狸看守著雞捨一樣。

因此,在申請參與Recover+時會有KYC要求,這為DeFi協議增加了身份、信譽以及最終的問責制,這有助於保護用戶免受拉攏或內部工作的影響。

此外,一些更複雜設計的攻擊計劃也會因為Recover+的存在而被挫敗。最近發生的「 一個Solana生態穩定幣交易Saber所構建的複雜去中心化金融(DeFi)服務網絡」創造的TVL的假象,就是一個非常生動的例子。這些漏洞依賴於假身份和欺騙,但這些在一個獎勵透明度和問責制的生態系統中是不可能存在的。

EOS生態恢復被盜資金簡史回顧

與更廣泛的行業所面臨的環境一樣,EOS和相關橋樑上的DeFi智能合約在過去也會遭遇一些重大的黑客攻擊。這些入侵事件成為研究案例,來證明像EOS這樣的DPoS網絡可以選擇以保護用戶為首任的方式來應對危機。

黑客攻擊等安全事件迫使EOS社區深入考慮網絡建設者所設想的「代碼就是法律」的設計理念。這一切的實現基礎,得益於EOS獨特的賬戶權限結構和DPoS共識算法。

Vaults.sx漏洞攻擊

2021年5月14日,黑客利用flash.sx智能合約上的一個重入漏洞(re-entry)對vaults.sx智能合約進行攻擊,導致約118 萬EOS 和46 萬USDT被盜。

面對這一情況,EOS Nation和EOS BPs之間共同協作,與攻擊者展開斡旋:黑客將資產轉移入246個新建賬戶中準備進行進一步洗錢和逃逸。 EOS Nation通過EOS治理系統發起了黑客事件治理提案並獲得了15名出塊節點的支持,凍結了黑客的所有246個新賬戶,隨後黑客對其造成的所有麻煩公開道歉,並在隨後的幾週內完成了資產的歸還。

這篇Vaults.sx回顧性博客文章介紹了關於SX.vault黑客事件的簡要時間線和相關想法。

eCurve和PIZZA借貸攻擊

另一起事件發生在2021年12月8日,黑客利用eCurve的溢出漏洞,鑄造了無限的tripool LP,並抽乾了相應的流動性資金池。因為tripool LP代幣是PIZZA平台的有效抵押品,該黑客還通過質押貸款抽乾了PIZZA金庫的資金。兩個平台共計約1000萬美元的代幣資產被盜。隨後,攻擊者在短時間內創建了137萬個EOS賬戶以進一步進行洗錢和逃逸。

面對這一緊急情況,PIZZA迅速採取行動,核實所有涉及賬戶,與所有受影響的各方合作,並開始擬寫一份多簽提案,希望通過EOS治理系統以凍結約137萬個黑客賬戶。

在此期間,黑客要求300萬美元的贖金,並威脅說如果BP試圖限制他的賬戶,他將把所有被盜資金發送給正常用戶。 PIZZA聯繫了21個BPs,並決定繼續推進限制賬戶的提案。黑客注意到提案投票正在進行中,再次重複了他們的威脅,即把所有資金重新分配到正常用戶的賬戶上。

黑客、PIZZA和EOS BPs之間的談判持續了4個小時,此時21個BPs中已經有15個批准了限制賬戶的提案,黑客最終選擇妥協,接受了50萬美元贖金的提議,雙方在接下來的幾週內完成了交易和資產歸還工作。

PIZZA在其Medium上發布了一篇文章以介紹這一事件的經過和最終結果。

Recover+發展關鍵點

伴隨著Recover+工作組的成立,才有了Recover+藍皮書的起草和Recover+安全門戶網站的創建,Recover+的誕生源於生態早期對網絡上重大漏洞事件應對措施的深入思考和回顧分析,並總結了它們的不足之處和成功之處。

此前,相關防範工具是可用的,但基於EOS的DeFi項目並沒有普遍可用的方法來應對這種攻擊。正是看到了這一點,Recover+的設計師們開始設計一個對所有EOS DeFi項目和代幣持有人同樣可用的應急處理系統,Recover+就這樣誕生了。

發現、響應、恢復 | Recover+:護航EOS安全新形式

Recover+的可持續發展規劃和採用

Recover+正在為個人項目、白帽黑客和EOS網絡本身建立一個更好的未來奠定必要的基礎。這是一個蓬勃發展的未來,擺脫了對智能合約漏洞的持續恐懼。

發現、響應、恢復 | Recover+:護航EOS安全新形式

在撰寫本報告時,Recover+正在為19個項目提供服務,總TVL為4700萬美元。該團隊定期在測試網絡上進行實踐運行,如firerills。 Recover+提供漏洞賞金,並繼續為任何可能發生的情況做著充分準備。

通過改善主要EOS區塊生產者和項目開發者之間的溝通,Recover+將為建立在EOS網絡上的項目創造一個更安全和更可靠的企業環境。

關於EOS

EOS網絡是區塊鏈3.0時代的典範之作,由EOS VM提供支持。 EOS VM是一個低延遲、高性能和可擴展的WebAssembly引擎,能夠近乎無感的實現確定性交易執行。 EOS網絡專為Web 3設計,致力於實現最佳的Web 3用戶和開發人員體驗。 EOS是EOSIO協議的旗艦區塊鍊和金融中心,並通過EOS網絡基金會(ENF)作為多鏈協作和發展公共基礎產品的工具,進一步完善基礎設施,驅動EOS快速發展。

EOS網絡基金會

EOS網絡基金會是一個非營利性的組織,旨在傾聽社區聲音、傳達社區意願並扶持社區優質項目發展,成為EOS社區的信息共享橋樑,並為EOS生態提供資金、技術、運營、未來規劃、生態構建等關鍵基礎設施支持,進一步發揮EOS作為世界速度最快的治理型區塊鏈的全部潛力。

發現、響應、恢復 | Recover+:護航EOS安全新形式