Yearn Finance 如何处理 War Room 情况
- tenderly
- 发布于 2022-06-14 22:53
- 阅读 249
本文分析了 Yearn Finance 在应对 Web3 紧急情况时采取的结构化方法,重点介绍了 War Room 的关键角色、职责以及如何根据 Yearn Finance 的检查清单制定行动计划,为读者提供了一份实用的应急处理指南,强调了提前准备和有效沟通的重要性。
一个好的应急程序的剖析 [Yearn Finance 案例研究]
Yearn Finance 有一套处理 Web3 中最坏情况的结构化方法。 了解更多关于必要的作战室角色,以及如何按照 Yearn Finance 清单设置你的行动计划。
![一个好的应急程序的剖析 [Yearn Finance 案例研究]](https://blog.tenderly.co/content/images/2023/02/13-Jun_Anatomy-of-a-good-emergency-01.png)
自软件开发开始以来,黑客攻击、漏洞和利用程序就一直困扰着它。 在区块链行业,考虑到目标资产的价值,风险通常更高。 这些紧急情况的严重程度各不相同,而且可能出错的情况数不胜数。 因此,制定应急计划至关重要。
没有人可以预测未来,但 Yearn Finance 的人员确实知道如何为最坏的情况做好准备。 他们引入了结构良好的程序来处理对时间敏感的情况。
这就是为什么我们从他们的剧本中借鉴了一页(有关详细信息,请阅读完整的 Yearn Finance 紧急程序指南),向你概述你可以采取的步骤来创建你自己的作战室协议。
作战室中的基本角色和职责是什么?
在 Web3 中组织作战室时,避免恐慌的第一步是分配角色。 这将帮助人们了解对他们的期望以及他们如何为寻找解决方案做出贡献。 尽量将参与范围限制在必要的员工身上。
但是,无论问题如何,你需要包括以下几个关键角色:
- 为了确保一切按计划进行,你需要有在类似情况下有经验的人来促进整个过程。协调员负责审查和指导信息的流动,并确保满足程序。 此外,你需要有人勾选清单上的框,并确保没有忽略任何步骤。
- 协议开发负责人和核心开发人员通常是作战室团队中最大的组成部分。 为什么? 你需要了解漏洞以及任何相关协议的人员。 他们的综合经验应涵盖问题甚至理论上可能影响的所有可能方面。 该团队还需要一名 Web 开发人员来更改 UI 以反映协议更改。
- 社区负责人也应该是作战室团队的一员。 他们的重点是透明度和损害控制,但他们也有助于过滤传入的信息。
- 速度在作战室中至关重要,因此你需要一个可靠的人来跟踪所有事情并处理诸如记笔记、准备事后分析和结果分析等项目。 为确保你不会重蹈覆辙,你需要一个具有强大分析和运营技能的人来记录所有内容、得出结论并实施后续步骤。
如何制定行动计划
尽快启动事情至关重要。 这似乎很明显,但人们在安全漏洞的压力下很难选择正确的行动方案。 这就是为什么培养一种在你发现任何异常情况时勇于发言的文化很有帮助。
在你的整个公司中,应该传达的信息是,与其在检查事实的同时长时间掌握信息,不如提出疑虑。 在对时间敏感的情况下,当团队成员不确定威胁是否有效时,共享信息并启动作战室以作为一个团队进行调查通常是最好的:
- 如果存在真正的威胁,它可以让团队快速做出反应,从而可能为你的公司节省大量资金。
- 如果没有问题,它将为你的团队成员提供更多信息,以快速揭穿可疑事件。
为了帮助你创建自己的行动计划,以下是你应该遵循的多步骤指南:
第 0 步:组建你的作战室
创建一个私密的聊天室,并且仅邀请必要的团队成员。 这样做可以让你快速评估问题,并决定邀请哪些其他人从各个角度来解决问题。 在此步骤中,请记住所涉人员的背景和技能。
第 1 步:确认问题并立即采取行动
在组建好团队后,你需要一个指定的发言人来向所有参与者介绍问题、收集到的有关情况的知识以及必要的工具。 创建一个共享文档是个好主意,每个人都可以在其中众包信息以供后来者使用。 此类文档可以包括以下信息:
- 涉及事件的重要 EOAs 和合约地址
- 指向序列中关键交易的链接
- 用于检查过去和当前区块数据的脚本
- 根本原因的文档
首要的关键任务是审查所有传入的信息并正确诊断问题。 请记住,新的详细信息将从不同的来源涌入。 因此,请批判性地思考并仔细检查所有数据和决策。
此时,协议开发人员将开始调查导致漏洞利用的交易或一组交易。 然后,他们将提出你可以实施的措施,以减轻进一步的攻击,包括抢先暂停可能存在漏洞的协议。 在你处理了迫在眉睫的威胁后,你可以进行下一步。
第 2 步:找出问题的根源并实施解决方案
一旦你的资金安全,就该解决问题的根本原因了。 核心开发团队需要深入执行以了解攻击向量并查明问题。
最好的情况是追回资金,但如果无法做到这一点,那么最好的下一步是提出一种可以永久防止此类攻击的解决方案。 这种讨论至关重要,因此团队协调员需要确保团队在实施解决方案之前权衡所有选项。
当你的团队努力解决问题时,请不要忘记你的用户社区。 你应该及时地将作战室中的信息传递给你的客户。 你的声誉也受到威胁,因此你需要你最好的社区联络员。
第 3 步:处理善后事宜
最糟糕的已经过去了,但还有一些工作要做。 因此,在停止之前,请安排一次事后分析,分析结果,并在必要时与攻击者沟通。
区分公开的事后分析和内部的事后分析非常重要。 公开事件披露是与你的社区沟通任何问题的最佳方式。 它表明你致力于其资金的安全并反映透明度。 例如,如果你只是承认任何错误,Web3 社区可以原谅你。
通过评估所采取的步骤和结果,你可以了解可以而且应该改进哪些方面以供将来参考。 高亮显示哪些方面进展顺利,哪些方面进展不顺利,并正式确定这些结论,以便这可以成为整个团队的学习经历。
如果你未能追回资金,你很可能会尝试与攻击者联系以达成协议。 但是,如果这样做不起作用,建议联系当局并与他们合作以查找和追回丢失的资金。
Yearn Finance 的紧急情况清单
为确保你不会忽略重要的步骤,最好手头有一份清单。 以下是 Yearn 的一个极好的例子,其中概述了一系列关键步骤:
- 创建一个带有音频的作战室
- 将关键角色分配给作战室成员
- 将策略师或其他专家(或其后备人员)添加到作战室
- 清除相关的多重签名队列
- 根据需要在 Web UI 中禁用存款和/或取款
- 如果共享价格被人为降低,则从 governance 中调用
vault.setDepositLimit(o) - 确认并识别问题
- 采取立即的纠正/预防措施以防止(进一步)资金损失
- 在内部和外部沟通当前情况(如果适用)
- 确定根本原因
- 提出可行的解决方案
- 实施和验证解决方案
- 确定解决方案的优先级
- 你的团队就最佳解决方案达成协议
- 执行解决方案
- 确认事件已解决
- 分配安全披露报告的所有权
- 解散作战室
- 立即进行汇报
- 安排一次事后分析
在正确的支持下处理 Web3 紧急情况
Yearn Finance 案例研究 可以成为为 Web3 作战室情况建立结构化且强大的程序的一个很好的起点。 但是,除了组建一个专家团队并为他们创建一个清单以供遵循之外,你还需要为他们提供 用于解决潜在问题的高级工具。 这可以进一步促进整个过程,并帮助你在情况失控之前快速找到解决方案。
- 原文链接: blog.tenderly.co/case-st...
- 登链社区 AI 助手,为大家转译优秀英文文章,如有翻译不通的地方,还请包涵~
