OpenZeppelin 如何在 Compound 兵棋推演模拟中阻止一场灾难性的攻击

OpenZeppelin
发布于 2023-12-21 18:34
阅读 3

本文介绍了 SEAL Chaos Team 组织的一次针对 Compound Finance 的安全攻击模拟，旨在测试相关团队应对真实安全漏洞的能力。模拟过程中，OpenZeppelin 的安全专家识别并响应了一个模拟的预言机价格操纵攻击，通过暂停 WETH 市场成功阻止了进一步的资金损失，并总结了经验教训。

**与 SEAL 混沌团队合作**

今年早些时候，来自 OpenZeppelin、Chainlink、Gauntlet 和 Compound 社区的一组安全专家通过专门的通信渠道进行虚拟会面，以协作压力测试他们应对真实安全漏洞的能力。利用以太坊的一个硬分叉版本，模拟攻击涉及部署各种机器人来复制 Compound Finance（一个持有超过 20 亿美元抵押品的领先 DeFi 协议）中的用户活动。在模拟过程中，引入了一个未知的漏洞，挑战了 OpenZeppelin 的安全专家，要求他们识别问题并做出相应的响应。

此次攻击模拟由 [SEAL 混沌团队](https://www.prweb.com/releases/experts-behind-seal-911-bot-announce-seal-drills-to-improve-industry-wide-emergency-readiness-301965035.html) 组织，该团队由 Paradigm 安全主管 samczsun、Shield3 联合创始人 Isaac Patka 以及众多其他安全专家组成。该团队在运行安全事件模拟之前，会通过事件响应演习来评估项目的威胁模型。7 月初，The SEAL 混沌团队使用 Compound 协议作为其新举措的试验场。由于该协议是去中心化的，因此该演习旨在评估来自各种协议贡献者的响应，其中 OpenZeppelin 作为 Compound DAO 的专用安全合作伙伴最为重要。

模拟基础设施包括复制 OpenZeppelin 使用 [Forta](http://forta.org/) 机器人构建的监控，然后由混沌团队在自定义网络上设置，以及一个专用于分叉网络的自定义区块浏览器。为了准确地模拟市场和攻击者活动，该团队还部署了自定义机器人和脚本。这种全面的设置可以对系统的安全措施和响应能力进行现实且彻底的评估。OpenZeppelin 此后发布了 [在 Defender 中支持自定义分叉网络](https://docs.openzeppelin.com/defender/v2/guide/forked-network)，Defender 是 Compound、Matter Labs 和其他 web3 团队使用的自己的安全运营平台。

![](https://img.learnblockchain.cn/2026/01/02/10822418_image.jpg)在模拟攻击过程中，一个恶意的模拟 **预言机** 被用来报告不正确的 WETH 价格，比市场价值高出 28%，导致恶意 **行为者** 可以通过使用虚高的 WETH 值作为抵押品来提取过量的 USDC 稳定币。这种市场违规行为通过 OpenZeppelin 为 Compound 构建的量身定制的 Defender 监控套件触发了警报。这种检测之所以成为可能，是因为集成的 Forta 机器人显示，模拟 **预言机** 报告的 WETH 价格远高于锚定价格。![](https://img.learnblockchain.cn/2026/01/02/39768567_image.jpg)

该团队确定，如果报告的 **预言机** 价格高于 Uniswap 锚定价格的 15% 接受阈值，并且 Comet 接受这些价格，那么该协议就有遭受市场操纵攻击的风险。其他市场监控警报显示了 **漏洞利用** 模式，其中模拟攻击者将通过存入 WETH 作为抵押品，然后以更高的价值提取 USDC 来利用这种虚高的价格。 ![](https://img.learnblockchain.cn/2026/01/02/11653647_image.jpg)看到这些警报后，该团队确认 Comet 合约目前正在受到价格操纵攻击的 **漏洞利用**，该攻击利用了模拟 **预言机** 报告的 WETH 虚高价格。攻击者以美元价值提供抵押品，但借入的 USDC 价值高于该价值，慢慢耗尽 Comet **池**，导致总损失约为 65 万至 70 万美元。

该团队立即开始编写事件文档，以跟踪角色、状态、通信渠道和时间线。团队成员被分配了特定的角色，OpenZeppelin 担任运营负责人，Compound Labs 团队成员担任事件指挥官。

在确认 **漏洞利用** 后，该团队讨论了暂停 WETH 市场以减轻 **漏洞利用** 并防止进一步的资金损失。Pause Guardian **多重签名** 上的签名者开始准备一个交易，该交易将完全暂停 WETH 市场。下图显示了用于表示每个签名者的暂停交易的已签名消息。

![](https://img.learnblockchain.cn/2026/01/02/29868343_image.jpg)由于所有功能都将暂停，该团队还开始确定暂停所有操作将对清算产生的任何影响。

此时的首要任务是暂停 WETH 上的所有操作，团队收集签名以执行暂停交易，同时继续评估整体影响。一旦交易执行，该团队确认暂停有效，并且恶意交易现在失败。最后，在减轻了直接影响后，该团队将讨论转移到全面的根本原因分析和事后分析，同时起草将通过 Twitter 发布公开通信。

对于实施 OpenZeppelin 的 Pausable 合约的协议，此类功能可以在 [Defender](https://openzeppelin.com/defender) 平台中本机执行，立即为 **多重签名** 成员排队一个暂停交易以进行签名，甚至可以通过 [中继器](https://docs.openzeppelin.com/defender/v2/manage/relayers) 执行，而无需依赖人工干预。

实时模拟在增强 Web3 安全性方面发挥着至关重要的作用。这些模拟使该领域值得信赖的各方能够建立关系并加强安全措施。凭借其在智能合约安全方面的丰富经验以及在与 Compound DAO 的攻击模拟中的作用，OpenZeppelin 处于行业安全工作的前沿。通过参与该联盟的协作计划，OpenZeppelin 旨在为大规模公共产品的开发做出贡献，从而提高区块链生态系统的安全性。

类似的实时模拟提供给希望压力测试其事件响应能力的安全重点客户。[联系我们讨论你的 DAO、Dapp、DeFi 协议或 Metaverse 项目的事件响应需求](https://www.openzeppelin.com/request)。

>- 原文链接： [openzeppelin.com/news/ho...](https://www.openzeppelin.com/news/how-openzeppelin-foiled-a-catastrophic-hack-in-a-compound-wargame-simulation-1)
>- 登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

与 SEAL 混沌团队合作

此次攻击模拟由 SEAL 混沌团队组织，该团队由 Paradigm 安全主管 samczsun、Shield3 联合创始人 Isaac Patka 以及众多其他安全专家组成。该团队在运行安全事件模拟之前，会通过事件响应演习来评估项目的威胁模型。7 月初，The SEAL 混沌团队使用 Compound 协议作为其新举措的试验场。由于该协议是去中心化的，因此该演习旨在评估来自各种协议贡献者的响应，其中 OpenZeppelin 作为 Compound DAO 的专用安全合作伙伴最为重要。

模拟基础设施包括复制 OpenZeppelin 使用 Forta 机器人构建的监控，然后由混沌团队在自定义网络上设置，以及一个专用于分叉网络的自定义区块浏览器。为了准确地模拟市场和攻击者活动，该团队还部署了自定义机器人和脚本。这种全面的设置可以对系统的安全措施和响应能力进行现实且彻底的评估。OpenZeppelin 此后发布了在 Defender 中支持自定义分叉网络，Defender 是 Compound、Matter Labs 和其他 web3 团队使用的自己的安全运营平台。

在模拟攻击过程中，一个恶意的模拟 预言机 被用来报告不正确的 WETH 价格，比市场价值高出 28%，导致恶意 行为者 可以通过使用虚高的 WETH 值作为抵押品来提取过量的 USDC 稳定币。这种市场违规行为通过 OpenZeppelin 为 Compound 构建的量身定制的 Defender 监控套件触发了警报。这种检测之所以成为可能，是因为集成的 Forta 机器人显示，模拟 预言机 报告的 WETH 价格远高于锚定价格。

该团队确定，如果报告的 预言机 价格高于 Uniswap 锚定价格的 15% 接受阈值，并且 Comet 接受这些价格，那么该协议就有遭受市场操纵攻击的风险。其他市场监控警报显示了 漏洞利用 模式，其中模拟攻击者将通过存入 WETH 作为抵押品，然后以更高的价值提取 USDC 来利用这种虚高的价格。看到这些警报后，该团队确认 Comet 合约目前正在受到价格操纵攻击的 漏洞利用，该攻击利用了模拟 预言机 报告的 WETH 虚高价格。攻击者以美元价值提供抵押品，但借入的 USDC 价值高于该价值，慢慢耗尽 Comet 池，导致总损失约为 65 万至 70 万美元。

在确认 漏洞利用 后，该团队讨论了暂停 WETH 市场以减轻 漏洞利用 并防止进一步的资金损失。Pause Guardian 多重签名 上的签名者开始准备一个交易，该交易将完全暂停 WETH 市场。下图显示了用于表示每个签名者的暂停交易的已签名消息。

由于所有功能都将暂停，该团队还开始确定暂停所有操作将对清算产生的任何影响。

对于实施 OpenZeppelin 的 Pausable 合约的协议，此类功能可以在 Defender 平台中本机执行，立即为 多重签名 成员排队一个暂停交易以进行签名，甚至可以通过中继器执行，而无需依赖人工干预。

类似的实时模拟提供给希望压力测试其事件响应能力的安全重点客户。联系我们讨论你的 DAO、Dapp、DeFi 协议或 Metaverse 项目的事件响应需求。

原文链接： openzeppelin.com/news/ho...

登链社区 AI 助手，为大家转译优秀英文文章，如有翻译不通的地方，还请包涵～

翻译
学分: 0
分类: DeFi
标签: 安全攻击模拟 Compound Finance OpenZeppelin SEAL Chaos Team 预言机 WETH

本文参与登链社区写作激励计划，好文好收益，欢迎正在阅读的你也加入。

OpenZeppelin 如何在 Compound 兵棋推演模拟中阻止一场灾难性的攻击

0 条评论

文章目录