自 2014 年以來，據估計已經有 800 億美元因黑客攻擊和漏洞而被盜。僅去年一年，就有大約 100 億美元被盜，其中 40 億美元來自加密貨幣。今年第二季度，加密貨幣損失超過 3 億美元。以太坊本身就因為 55 起事件而損失了近 6500 萬美元。

DeFi 的安全性不足，Groom Lake 的創始人 FDR 計劃改進它，無論是考慮到當前的市場需要槓杆和事件響應計劃，還是在運營監控方面需要防止漏洞的發生。

目前，DeFi 就像是荒野。

在真正的荒野西部，可能會有時候當地的警長或聯邦特工無法提供幫助，這時人們就會求助於 Pinkertons，這是一家成立於 1850 年左右的私人保安/偵探機構。

在當今的 Web3 中，我們需要自己的 Pinkertons。協議和個人正不斷地因黑客和漏洞而損失資金，然後天真地乞求攻擊者歸還被盜的錢款。

在本月初，我們目睹了意外的 Vyper/Curve 漏洞利用事件，黑客從中獲得了 6900 萬美元。

正如我們所見，由於協議在一個波動的環境中專注於上市，它們並不一定會花額外的時間進行安全操作。

在應對漏洞利用時，時間不僅僅是關鍵，還有槓杆。在活躍的情況下，協議或人員需要快速升級才能佔據上風。

FDR 分享了一個故事，他們提到限制所有通信以減輕利用者的影響力。因此，在 Twitter 上沒有任何噪音，沒有消息，什么都沒有。

後來，攻擊者通過一個臨時的 Protonmail 地址發送了一封電子郵件，就這樣，攻擊者失去了影響力，導致了黑客的垮臺。

通過精心策劃的心理战，他的團隊專業地控制了局勢。

什么是 Groom Lake？

正如 FDR 所說，“Groom Lake 是 DeFi 的私人軍事公司”。

Groom Lake 是一家專門的網絡安全和情報行動公司。他們提供從結構、框架、危機響應計劃到合規性的一切。提供協議所需的主動和被動安全措施。FDR 表示，他希望為 Groom Lake 創建一個敏捷的團隊，類似於一個輕步兵部隊。

根據當前的指標，Groom Lake 可以在全球範圍內派遣一名特工，親自進行實時部署，並在 24-48 小時內執行任務。

與 Web2 相比，在活動情況下，他們有 72 小時的時間來解決所有問題，更不用說他們可以獲得無限的資源。根據我們在加密貨幣領域看到的許多黑客攻擊，攻擊者只需要幾個小時就可以掏空資金，所以沒有時間去集結部隊。

在當今的環境中，網絡安全咨詢公司經常敲詐協議，並利用項目愿意為安全咨詢服務支付巨額費用的事實。而審計的費用也不便宜...它們的費用可以從幾千美元到幾十萬美元不等。

Groom Lake 提供主動式和被動式安全服務，其成本低於單個內部網絡安全人員的成本，而且他們專注於一切領域：：心理战、攻擊性黑客行動、防御安全、取證甚至人員情報。Groom Lake 可以利用遍布六大洲、嵌入政府和機構的網絡。

最佳和最差的安全實踐

當被問及用戶和創始人的最佳和最差的安全實踐時，FDR 有很多話要說。

如果您使用 VPN 增強隱私，請選擇具有本地化專有軟件並充分利用其高級設置的 VPN。請注意，“十四眼聯盟”是由包括美國、德國和英國在內的 14 個國家組成的聯盟，他們在成員之間共享監視信息。為了最大限度地保護隱私，請選擇總部位於這些國家之外的 VPN 提供商。正如 FDR 所說，“一旦您的數據離开您的控制，它就是公开的目標...”

不良安全實踐的另一個例子是使用 SMS 進行 2FA……FDR 說得最好，“比如什么？為什么？” 盡管有總比沒有好，但沒有理由使用 SMS 進行 2FA。人們可以輕松地使用虛擬身份驗證器，而不是使用短信。FDR 青睞使用 VA（即 Google Authenticator、Authy），因為它們方便、安全且易於使用。Yubikeys 也是另一個好的實踐，它在某種程度上有點偏執，但非常安全。

除了這些“較低級別”的安全實踐外，FDR 強調的首要事項是協議建立危機響應計劃（CRP）。在美國軍隊中，清晰的溝通對於有效的協調和成功的結果至關重要。如果發生安全漏洞等問題，所有相關人員都知道自己的角色，這要歸功於預先定義的危機響應計劃（CRP）。社區經理准備了預設消息，並在前 48 小時內輪班工作。事件響應經理作為一個中心樞紐，協調行動以確保所有人都保持一致。法律、公關和傳媒團隊准備起草談判郵件。主動性至關重要；每個人都知道自己的責任並高效地執行。按照 FDR 的建議，至少每年要進行一次 CRP 演練，類似於消防演習。這些措施確保個人和整個協議都為黑客攻擊或其他漏洞等最壞情況做好准備。

什么是 Drosera？

Drosera 是世界上第一個去中心化的自動響應集體（DARC），它是建立在 EigenLayer 之上的一組智能合約，允許共識層 ETH 操作員減輕黑客攻擊。

Drosera 提供全天候的監控和事件響應能力。

協議受益於降低的燃氣成本，因為高級驗證檢查是在鏈下執行的。Drosera 使用專有技術來隱藏協議安全配置，包括操作員在內。

Drosera 是 Groom Lake 的副產品，FDR 意識到在 Web3 中，有着非常敏捷的團隊在一個結構不完善的行業和環境中運作，幾乎沒有監管考慮，試圖盡快將產品推向市場。往往，項目沒有時間去關注安全操作，確保一切安全。於是 Drosera 應運而生...

在开發 Drosera 時，FDR 將用戶友好的訪問放在首位，認識到 DeFi 和加密領域往往缺乏對用戶和創始人的友好性。Drosera 的設計旨在提供易於訪問的服務，成本低於漏洞賞金和審計。FDR 設想了一個簡化的用戶體驗，客戶可以通過訪問網站並點擊一個按鈕輕松地使用 Drosera 的功能。

Drosera 通過五步驟的過程來減輕安全漏洞的影響。首先，一個協議發布一個“任務”，其中概述了具體的有效條件和緊急響應措施。其次，Drosera 操作員參與這個“任務”，代表協議進行自動監視。第三，這些操作員檢測到任何違反有效條件的狀態變化，並立即廣播該狀態。第四，操作員達成共識，並通過其中一名操作員的提交來激活協議預設的緊急行動。最後，這個行動有效地控制和減輕了對協議的進一步風險。FDR 保證在 24-48 小時的時間窗口內，Drosera 可以迅速從檢測到部署，甚至可以直接定位和面對攻擊者。

與完全編程化的方法相比，Drosera 通過減少復雜結構的需求，節省开發人員的時間並降低額外成本，從而簡化了安全流程。作為首個提供易於接近的安全解決方案的平臺，Drosera 逐塊地增強網絡的安全性。

就其开發時間表而言，Drosera 正在使用 EigenLayer 作為主動驗證服務（AVS）進行構建。其最小可行產品（MVP）正在等待部署，以收集初步的真實世界數據，並確立自身為“安全 AVS”。在第二階段，重點將轉向與關鍵合作夥伴的 B2B 業務發展，作為進入更廣泛的 EVM 生態系統的入口。到 2026 年第一季度，Drosera 的目標是完成其 A 輪融資，發展成為一個完全民主化和去中心化的安全市場。