Recover+: Что делать в случае чрезвычайной ситуации с EOS
Разработка стратегий смягчения последствий, протоколов реагирования на чрезвычайные ситуации и методов борьбы со взломами и эксплойтами.
Единственной вещью, которая хуже самой чрезвычайной ситуации, может быть только незнание того, что делать в случае ее возникновения. Recover+ предоставит стратегии смягчения последствий, протоколы реагирования на чрезвычайные ситуации и лучшие практики на случай взломов и эксплойтов в сети EOS.
Если в реальной жизни происходит серьезный несчастный случай, мы в точности знаем, что нужно делать: звонить в службу спасения. Но что, если ваш смарт-контракт или dApp подвергся хакерской аттаке? Что если хакеры крадут ваши активы в режиме реального времени? Проекты должны знать, какие шаги им предпринять, если случится худшее, чтобы иметь наибольшие шансы на смягчение последствий.
В документе Audit+ Blue Paper предложено множество различных инициатив для предотвращения атак, которые могут быть реализованы путем обеспечения большей надежности и безопасности контрактов и кода. Recover+ можно воспринимать как дополнительную рабочую группу к Audit+, поскольку она будет рассматривать лучшие практики и процедуры на случай возникновения эксплойтов, независимо от того, насколько тщательно разработчик составлял свои смарт-контракты. Даже после аудита, проведенного ведущей фирмой по безопасности, никакой код не является идеальным, а о некоторых эксплойтах не известно до тех пор, пока они не будут… задействованы. Кроме того, проекты, предприятия и даже регуляторы должны готовиться к этим постоянно меняющимся и эволюционирующим угрозам и иметь стандартизированную и надежную методологию, которая поддается проверке и, следовательно, потенциально может быть застрахована.
Для того чтобы инновации в EOS продолжали набирать обороты, EOS Network Foundation (ENF) взяли на себя обязательство обеспечить тех, кто обладает наибольшей экспертизой и опытом, средствами, с помощью которых они смогут привнести дополнительную ценность в экосистему EOS. Cистемное финансирование и координация до недавнего времени были чем-то нереальным для экосистемы EOS, но теперь они стали одними из ее определяющих принципов, примером чему служат спонсируемые ENF рабочие группы.
Спонсируемые ENF рабочие группы:
Четыре из этих рабочих групп готовят или уже подготовили подробные “Blue papers” (исследовательские документы), в которых подробно описаны задачи и цели, а также стратегии их достижения. Recover+ станет одной из первых рабочих групп, спонсируемых ENF, помимо EVM+, которая кроме документации и исследований представит реальный продукт.
Recover+
Возглавляемая командой PIZZA.FINANCE, рабочая группа Recover+ нацелена на создание структуры кризисного управления для EOS. Для этого планируется разработать контракты, протоколы, руководства (включая шаги, которые необходимо предпринять в чрезвычайной ситуации), часто задаваемые вопросы и рекомендации о том, к кому обращаться за помощью и поддержкой сразу после возникновения эксплойта. Некоторые дополнительные предложения, которые могут появиться в рамках Recover+, включают страхование DAO и потенциальные вознаграждения, чтобы помочь участникам EOS более эффективно реагировать на потерю или кражу активов. Все это будет легко доступно через удобный интерфейс на веб-портале.
Команда PIZZA.FINANCE идеально подходит для руководства этой рабочей группой благодаря своему опыту в DeFi, а также недавнему опыту восстановления украденных цифровых активов после эксплойта, который произошел в нескольких DeFi проектах.
В 4 квартале 2022 года в смарт-контракте eCurve произошел сбой, который позволил получить доступ к цифровым активам, хранящиеся в кредитном продукте PIZZA. Анонимный хакер, известный как “itsspiderman”, сначала атаковал eCurve, намайнив бесконечное количество Liquidity Pool (LP) токенов. Это позволило хакеру вывести всю имеющуюся ликвидность из пулов eCurve, а затем оставить их в виде залога в Pizza Lend. После чего любой токен, имеющий ценность, можно было взять в долг под залог их неограниченного обеспечения “TRIPOOL”.
Обычно после того, как подобные эксплойты происходят в экосистемах, отличных от EOSIO, ничего уже нельзя сделать для возврата средств. В EOS существует легаси функционал, который технически позволяет всем 21 блок продьюсерам вносить определенные счета в “черный список”, гарантируя, что заблокированные счета отклонят все транзакции. Однако практически невозможно поддерживать постоянный “черный список” для всех 21 блок продьюсеров, и если хоть один из них не поддерживает этот “черный список”, то транзакции с этих счетов будут все равно выполняться. Высокий уровень сложности для выполнения этой задачи является особенностью EOS, чтобы сделать цензуру в сети чрезвычайно сложной и возможной только если консенсус 21/21 будет поддерживаться постоянно.
Другой возможный подход заключается в достижении консенсуса 15/21 между блок продьюсерами для ограничения целевых счетов путем изменения разрешений для них. Ранее этот метод применялся только один раз после взлома EOSX Vault, в результате которого удалось вернуть 13 млн долларов похищенных средств.
Во время атаки Spiderman, PIZZA пытались использовать оба подхода, и провели последующие дни в чрезвычайной спешке, отчаянно пытаясь вернуть украденные средства и разрабатывая специальные инструменты и скрипты. После того как хакеры заметили, что инструменты восстановления PIZZA были задействованы, они немедленно начали переговоры с PIZZA, используя систему сообщений в сети EOS, где они согласились на выплату выкупа в обмен на оставшуюся часть украденных средств. PIZZA смогла возместить ущерб своим пользователям, а затем передала eCurve оставшуюся часть восстановленных активов.
Эта атака подчеркнула необходимость более стандартизированного подхода к восстановлению. Большинство владельцев проектов и DAO на EOS не имеют опыта работы с подобными атаками и просто не подготовлены для борьбы с ними. Одна из основных целей программы Recover+ — предоставить проектам на EOS представление обо всех различных вариантах реагирования и восстановления доступа к украденным аккаунтам в случае атаки.
Стандарты и процедуры для режима “God Mode” (Режим Бога)
Еще одним важным аспектом Recover+ является определение наилучшего подхода к часто критикуемому и редко понимаемому режиму “God Mode”. Многие считают, что это дает производителям блоков право принимать непоследовательные решения, которые могут быть даже карательными и без права на обжалование. Способ принятия решений блок продьюсеров в режиме “God Mode”, скорее всего, не будет прозрачным, и это является проблемой. Как минимум, это создает неопределенность и недоверие в области, где не может быть ни того, ни другого.
Рабочая группа также будет разрабатывать стандарты и процедуры, в соответствии с которыми запрашивается и производится замораживание счета. Они планируют описать, как авторизация счетов может быть изменена во время атак, и определить лучшие практики для того, чтобы проекты могли своевременно общаться с производителями блоков. Задачи рабочей группы также состоят в том, чтобы помочь блок продьюсерам повысить качество принимаемых ими решений и сократить время, необходимое для формирования консенсуса.
Будет создан портал Recover+, который послужит информационным мостом, соединяющим производителей блоков и владельцев проектов, создавая стандартизированные методологии и лучшие практики для всех сторон. Именно с этого сайта будут доступны руководства, статусы аудита проектов, часто задаваемые вопросы, контактная информация на случай чрезвычайных ситуаций и многое другое. Как телефон службы спасения 911 для чрезвычайных ситуаций в EOS.
Чего ожидать
Как упоминалось выше, серьезной идеей было бы создание формы страхования DAO для проектов EOS. Это позволило бы минимизировать отрицательные моменты и не только возместить расходы проектов, но и способствовать более точному планированию. Например, можно будет оценить стоимость ежегодной страховки. Подобные идеи в основном будут изучаться на втором этапе проекта, учитывая их сложность. В ближайшем будущем Recover+ опубликует результаты своего исследования, в котором будет изложена дорожная карта решения наиболее актуальных проблем безопасности, стоящих перед EOS, и то, что должны делать проекты, чтобы лучше защитить себя и сеть.
Принять участие
Как и со всеми спонсируемыми рабочими группами, ENF стремится обеспечить полную прозрачность и приветствует участие всего сообщества EOS в нашем Discord. Именно эти обсуждения помогают превратить мудрость и изобретательность сообщества EOS, при правильной поддержке и финансировании, в реальные проекты. Именно эти проекты и инновации EOSIO превратят EOS в технологию и токен, которыми она всегда должна была стать.
EOS Network Foundation
EOS Network Foundation координирует финансовую и нефинансовую поддержку для стимулирования роста и развития сети EOS. Мы используем возможности децентрализации, чтобы наметить согласованное будущее для EOS как силы позитивных глобальных изменений.
Оригинал статьи: Recover+: What To Do Next in an EOS Emergency
Перевод: Sergei Fomin
