Shred-Security/Incident-Response-Checklist

# Web3 事件响应检查清单 **版本：** v1.0.0 **状态：** 稳定 **最后更新：** 2026-04-07 ## 目录 - [简介](#introduction) - [1. 事件前准备（就绪关口）](#1-pre-incident-preparation-readiness-gate) - [2. 第一阶段：检测与即时警报（0–5 分钟）](#2-phase-1-detection--immediate-alert-0-5-minutes) - [3. 第二阶段：遏制 — 止损（0–30 分钟）](#3-phase-2-containment--stop-the-bleed-0-30-minutes) - [4. 第三阶段：评估与取证（最初数小时）](#4-phase-3-assessment--forensics-first-few-hours) - [5. 第四阶段：沟通与补救策略（最初 24 小时）](#5-phase-4-communication--remediation-strategy-first-24-hours) - [6. 第五阶段：根因分析与修复（最初数天）](#6-phase-5-root-cause-analysis--fix-first-few-days) - [7. 第六阶段：恢复与分阶段上线（1–2 周）](#7-phase-6-recovery--phased-rollout-1-2-weeks) - [8. 第七阶段：事后复盘、加固与经验总结（数周及以后）](#8-phase-7-post-mortem-hardening--lessons-weeks) - [贡献](#contributions) - [关于 Shred Security](#about-shred-security) - [许可证](#license) ## 简介 协议事件响应，正确之道。 本检查清单为 Web3 事件响应定义了生产级基准标准，涵盖黑客攻击、漏洞利用或安全事件发生后的关键时段，包括私钥泄露、闪电贷攻击、UI/DNS 劫持、预言机操纵、治理攻击等。 专为协议团队设计，当分秒必争时，提供清晰、久经考验的行动序列；也供审计人员验证协议的安全态势和运营成熟度是否达到真实部署所需标准。 **核心原则（若违反则为阻断项）：** 先遏制，再调查或沟通。在损失得到遏制之前，不得调试，不得发布详细推文。 ## 1. 事件前准备（就绪关口 — 主网或升级前必须达到 100%） | # | 行动 / 控制 | 适用时机 | 严重性 | 必需？ | 证据 / 备注 | 状态 | |---|------------------|--------------|----------|-----------|-----------------|--------| | 1.1 | 事件响应团队已组建，角色明确（Ops 负责人、技术负责人、沟通负责人、法务） | 始终 | 阻断项 | 是 | 团队名册 + 联系清单（Signal/Telegram 群组） | [ ] | | 1.2 | 事件触发条件已定义（TVL 下降、异常警报、社区反馈） | 始终 | 阻断项 | 是 | 在 Playbook 中书面化的触发矩阵 | [ ] | | 1.3 | 可暂停合约 + 熔断机制已实现（EIP-7265 风格） | 所有涉及资金的合约 | 阻断项 | 是 | 部署 Tx 哈希 + 暂停功能测试 | [ ] | | 1.4 | 所有管理功能均配置多重签名 + 时间锁（≥4-of-7 地理分布） | 始终 | 阻断项 | 是 | 多重签名地址 + 签名者列表 + 时间锁配置 | [ ] | | 1.5 | 硬件钱包隔离 + 密钥轮换策略（开发笔记本、API 密钥、AWS/GCP） | 始终 | 阻断项 | 是 | 策略文档 + 最近一次轮换日志 | [ ] | | 1.6 | 自动化监控 + 不变式机器人（偿付能力、大额流出、暂停触发器） | 始终 | 阻断项 | 是 | 仪表盘链接 + 警报测试日志 | [ ] | | 1.7 | 预先批准的外部合作伙伴（审计顾问、SEAL 911、Chainalysis/TRM Labs） | 始终 | 警告 | 是 | 顾问合同 + 联系表 | [ ] | | 1.8 | 作战室频道 + 沟通模板就绪 | 始终 | 警告 | 是 | 私有 Discord/Telegram + 模板文件夹 | [ ] | | 1.9 | 桌面演练已完成（闪电贷、密钥盗窃、UI 入侵） | 每季度 | 信息 | 是 | 演练报告 + 经验日志 | [ ] | | 1.10 | 损失核算电子表格模板 + 冷存储备份 | 始终 | 警告 | 是 | 模板链接 + 国库快照 | [ ] | **就绪评分：**（阻断项必须在启动/升级前 ✅） ## 2. 第一阶段：检测与即时警报（0–5 分钟） | # | 行动 / 控制 | 适用时机 | 严重性 | 必需？ | 证据 / 备注 | 状态 | |---|------------------|--------------|----------|-----------|-----------------|--------| | 2.1 | 通过 ≥2 个来源确认异常（Etherscan、监控、社区） | 任何触发器启动 | 阻断项 | 是 | 首次检测的截图 + 时间戳 | [ ] | | 2.2 | 激活事件模式（作战室通知 + 暂停常规运维） | 确认异常 | 阻断项 | 是 | 作战室消息时间戳 | [ ] | | 2.3 | 尚未公开沟通（无推文、无 Discord 详情） | 前 5 分钟内始终 | 阻断项 | 是 | 保持静默的截图（或仅最小确认） | [ ] | | 2.4 | Ops 负责人记录初步观察 | 始终 | 警告 | 是 | 时间线条目 #1 | [ ] | ## 3. 第二阶段：遏制 — 止损（0–30 分钟） | # | 行动 / 控制 | 适用时机 | 严重性 | 必需？ | 证据 / 备注 | 状态 | |---|------------------|--------------|----------|-----------|-----------------|--------| | 3.1 | 在所有受影响合约上执行暂停 / 紧急停止 | 合约可暂停 | 阻断项 | 是 | 暂停交易哈希 | [ ] | | 3.2 | 所有漏洞利用流出已停止 | 漏洞利用进行中 | 阻断项 | 是 | 链上验证（无进一步恶意交易） | [ ] | | 3.3 | 特权密钥已轮换 / 撤销 | 怀疑密钥泄露 | 阻断项 | 是 | 轮换交易哈希 + 新多重签名设置 | [ ] | | 3.4 | 提现 / 高风险功能已禁用 | 用户资金面临风险 | 阻断项 | 是 | 合约状态截图 | [ ] | | 3.5 | 恶意地址已阻止 / 列入黑名单 | 攻击者可见 | 警告 | 是 | 地址列表 + 阻止交易 | [ ] | | 3.6 | 评估并执行白帽救援（若资金仍可被抽走） | 资金仍面临风险 | 警告 | 否（但需记录决策） | 决策日志 + 救援交易（如已执行） | [ ] | | 3.7 | 后端基础设施隔离（AWS/GCP 密钥已轮换、DNS 已检查） | 可能存在 UI / 基础设施入侵 | 警告 | 是 | 轮换日志 + DNS 快照 | [ ] | | 3.8 | 发送最小化公开更新（“已发现异常，运营已暂停”） | 遏制之后 | 警告 | 是 | 推文 / Discord 帖子链接 | [ ] | **遏制成功关口：** 所有阻断项 ✅ → 进入评估阶段。 ## 4. 第三阶段：评估与取证（最初数小时） | # | 行动 / 控制 | 适用时机 | 严重性 | 必需？ | 证据 / 备注 | 状态 | |---|------------------|--------------|----------|-----------|-----------------|--------| | 4.1 | 创建损失核算电子表格（已确认损失 / 风险中 / 安全） | 始终 | 阻断项 | 是 | 带分类的 Google Sheet / Excel 链接 | [ ] | | 4.2 | 构建完整事件时间线（T-Minus 上次升级 → T-Zero 首笔恶意交易） | 始终 | 阻断项 | 是 | 带时间戳的时间线文档 | [ ] | | 4.3 | 聘请外部专家（审计师 / SEAL 911） | 始终 | 警告 | 是 | 邮件 / Telegram 线程 + 响应时间戳 | [ ] | | 4.4 | 检查次要攻击向量（恶意 UI、DNS、预言机、桥接、内部人员） | 始终 | 警告 | 是 | 检查清单 + 截图/日志 | [ ] | | 4.5 | 所有证据已快照（RPC 日志、CloudTrail、Git 历史、Discord 审计） | 始终 | 阻断项 | 是 | 文件夹链接 + 哈希 | [ ] | | 4.6 | 验证漏洞利用向量（闪电贷 / 逻辑错误 / 密钥盗窃） | 始终 | 警告 | 是 | Tenderly/Foundry 调试链接 + PoC 交易 | [ ] | ## 5. 第四阶段：沟通与补救策略（最初 24 小时） | # | 行动 / 控制 | 适用时机 | 严重性 | 必需？ | 证据 / 备注 | 状态 | |---|------------------|--------------|----------|-----------|-----------------|--------| | 5.1 | 起草情况报告（SitRep）— 仅限事实 | 始终 | 阻断项 | 是 | SitRep 文档 / 博客草稿 | [ ] | | 5.2 | 使用批准的模板发布透明更新（Discord → X 线程） | 始终 | 警告 | 是 | 帖子链接 + 时间戳 | [ ] | | 5.3 | 通知交易所和稳定币发行方标记攻击者地址 | 稳定币或代币被盗 | 警告 | 是 | 邮件线程 / 支持工单 | [ ] | | 5.4 | 决定补救计划（修补 / 迁移 / 重新部署） | 始终 | 阻断项 | 是 | 带理由的决策日志 | [ ] | | 5.5 | 提供白帽赏金（10–20%，通过链上或私下渠道） | 资金可追回 | 警告 | 否（需记录） | 链上消息或邮件 | [ ] | | 5.6 | 记录证据保全（谁暂停、谁发推、何时） | 始终 | 警告 | 是 | 决策日志电子表格 | [ ] | **沟通原则（违反即为阻断项）：** 除非 100% 验证，否则绝不说“资金安全”。 ## 6. 第五阶段：根因分析与修复（最初数天） | # | 行动 / 控制 | 适用时机 | 严重性 | 必需？ | 证据 / 备注 | 状态 | |---|------------------|--------------|----------|-----------|-----------------|--------| | 6.1 | 完成完整根因分析（RCA），包含被破坏的不变式 + PoC | 始终 | 阻断项 | 是 | RCA 报告 + 分叉 PoC | [ ] | | 6.2 | 补丁在任何部署前经过私下审计 | 补丁已存在 | 阻断项 | 是 | 审计师审查报告 | [ ] | | 6.3 | 完成修复的对抗性测试 | 始终 | 警告 | 是 | 测试报告 + 失败的攻击尝试 | [ ] | | 6.4 | 国库评估 + 赔偿方案已记录 | 损失已确认 | 警告 | 是 | 电子表格 + 董事会决策 | [ ] | ## 7. 第六阶段：恢复与分阶段上线（1–2 周） | # | 行动 / 控制 | 适用时机 | 严重性 | 必需？ | 证据 / 备注 | 状态 | |---|------------------|--------------|----------|-----------|-----------------|--------| | 7.1 | 执行分阶段重启：第一阶段 = 仅提现 | 始终 | 阻断项 | 是 | 每阶段的交易哈希 | [ ] | | 7.2 | 第二阶段 = 限额存款 | 第一阶段稳定后 | 阻断项 | 是 | 配置交易 + 限额 | [ ] | | 7.3 | 第三阶段 = 第三方验证后全面运营 | 第二阶段后 | 阻断项 | 是 | 审计师签署确认 | [ ] | | 7.4 | 所有密钥重新初始化 + 必要时迁移资金 | 密钥泄露 | 阻断项 | 是 | 迁移交易列表 | [ ] ## 8. 第七阶段：事后复盘、加固与经验总结（数周及以后） | # | 行动 / 控制 | 适用时机 | 严重性 | 必需？ | 证据 / 备注 | 状态 | |---|------------------|--------------|----------|-----------|-----------------|--------| | 8.1 | 发布完整事后复盘（技术 PoC + 变更） | 始终 | 阻断项 | 是 | 公开事后复盘链接 | [ ] | | 8.2 | 应用运营加固（多重签名扩展、时间锁、地理分布） | 始终 | 阻断项 | 是 | 新合约交易 + 配置 | [ ] | | 8.3 | 添加实时不变式监控 + 自动暂停机器人 | 始终 | 警告 | 是 | 机器人部署交易 + 测试 | [ ] | | 8.4 | 启动持续安全顾问 + 高价值漏洞赏金计划 | 始终 | 警告 | 是 | 顾问协议 + 赏金计划链接 | [ ] | | 8.5 | 更新 Playbook + 安排新的桌面演练 | 始终 | 信息 | 是 | 更新的文档版本 + 演练日期 | [ ] | ## 关于 Shred Security Shred Security 是一家以研究为驱动的安全公司，专注于智能合约审计、威胁建模和区块链安全。 如需审查合作、部署作战室或完整协议审计，请通过 [shredsec.xyz](https://shredsec.xyz) 联系我们。 ## 许可证 © 2026 Shred Security 本作品采用知识共享署名 4.0 国际许可协议（CC BY 4.0）进行许可。 您可以自由分享和改编本检查清单用于任何目的，包括商业用途，前提是适当注明 Shred Security。

标签：CSP, DeFi安全, DNS劫持, Root Cause Analysis, UI劫持, Web3安全, 事件响应清单, 事后复盘, 劫持, 区块链安全, 危机管理, 去中心化协议, 安全标准, 安全运营, 库, 应急响应, 扫描框架, 智能合约, 止损措施, 治理攻击, 资产恢复, 闪贷攻击, 防御加固, 防御策略, 预言机操纵, 黑客攻击