Стратегия приоритета безопасности базы

Цель Base — привлечь к блокчейну следующую группу из миллионов разработчиков и миллиардов пользователей. Безопасность является важной частью этого видения. Мы хотели рассказать о нашем подходе к безопасности на сегодняшний день в Base, о том, как мы готовимся к безопасному запуску основной сети посредством внутренних и внешних аудитов безопасности, и о том, как мы используем лучшие практики Coinbase в области безопасности в сети.

Безопасность обеспечивается стеком OP с открытым исходным кодом

База построена на стеке OP, разработанном в сотрудничестве с Optimism. Это означает, что с самого начала мы опираемся на обширную работу по безопасности команды OP Labs и более широкого сообщества Optimism, включая многочисленные аудиты профессиональных фирм и конкурсы сообщества.

Для дальнейшего тестирования безопасности стека OP Coinbase провела внутренний аудит своей командой безопасности протокола. Команда Coinbase Protocol Security — это специальная команда, которая тесно сотрудничает с разработчиками внутри компании, чтобы гарантировать безопасность любого нового продукта или услуги, которые мы создаем, включая аудит смарт-контрактов и новую проверку блокчейна.

Команда безопасности протокола тесно сотрудничала с OP Labs в течение последних 6 месяцев, чтобы усилить безопасность Base и Optimism, в том числе:

• Проведен аудит всех предварительных развертываний и контрактов Optimism, включая L1 и L2, для выявления уязвимостей и рисков в технологическом стеке.
• Используйте методы фаззинга для ключевых компонентов, таких как мост L2 и секвенсор.
• Разработаны оперативные ранбуки для различных сценариев риска и конкретных чрезвычайных ситуаций.
• Рассмотрены и проверены настройки управления ключами и контракты Base. Мы очень тщательно оценили каждую роль и определили правильную конфигурацию управления ключами, обеспечили надлежащий консенсус при использовании ключей и разработали адекватные планы аварийного восстановления.

Завершение этих углубленных рабочих процессов безопасности без обнаружения критических уязвимостей дало команде Base уверенность в том, что можно двигаться вперед с запуском основной сети.

Расширить объем аудита внешней защиты

Мы знаем, что хорошая безопасность — это коллективные усилия: чем тщательнее анализируется кодовая база, тем лучше. В рамках подготовки к запуску основной сети Base мы провели открытый конкурс по аудиту смарт-контрактов через Code 4 rena, пригласив более широкое сообщество принять участие в поиске и сообщении об уязвимостях в любой части стека OP. Это включает в себя программное обеспечение узла OP, уязвимости эквивалентности EVM, уязвимости моста и общие проблемы со смарт-контрактами. В то же время команда безопасности протокола Coinbase провела тщательный анализ результатов и мер по смягчению последствий прошлых программ аудита (spearbit и sherlock).

В этом конкурсе мы привлекли к участию более 100 исследователей безопасности и рады сообщить, что серьезных уязвимостей обнаружено не было. Из-за высокого уровня вовлеченности исследователей мы активно решаем все представленные вопросы и обеспечиваем принятие соответствующих мер по любым сообщаемым информационным или незначительным проблемам.

Расширение возможностей экосистемы

Помимо защиты основной кодовой базы OP Stack, мы сосредоточены на повышении общей безопасности экосистемы Ethereum. Чтобы усилить безопасность Base и поддержать другие команды, использующие цепочки OP Stack, мы разрабатываем инструмент мониторинга с открытым исходным кодом Pessimism для своевременного уведомления об аномалиях в протоколе и сети, таких как ненормальные балансы счетов, контрактные события или L Difference. между состояниями 1 и L2. Этот новый инструмент мониторинга будет работать вместе с существующими инструментами мониторинга OP Labs, такими как Fault-Detector, внутренними возможностями мониторинга блокчейна Coinbase и сторонними инструментами для выявления вредоносных и аномальных событий. Узнайте больше о наших инструментах мониторинга в ближайшие месяцы.

Кроме того, мы разрабатываем инструменты, позволяющие разработчикам повысить уверенность в безопасности развернутых смарт-контрактов, в том числе разрабатываем инструменты сканирования безопасности смарт-контрактов, чтобы помочь разработчикам снизить вероятность написания уязвимостей безопасности в контрактах. Разработчики могут использовать этот инструмент для быстрого и простого сканирования своих контрактов и получения результатов с помощью нескольких инструментов обнаружения уязвимостей с открытым исходным кодом, включая собственный анализатор функций безопасности Coinbase. Вы можете прочитать больше об этой работе в нашем недавнем сообщении в блоге Coinbase.

Сначала запустите основную сеть с концепцией безопасности

Base был разработан в первую очередь с точки зрения безопасности, сочетая лучшие практики безопасности Coinbase с децентрализованной строгостью безопасности базы кода с открытым исходным кодом. Частично это начинается с предположения, что вредоносные события могут произойти, и признания того, что атаки станут более изощренными. Поэтому мы провели имитационные учения, чтобы проверить и улучшить нашу способность реагировать на крупномасштабные инциденты и общую устойчивость Base.

Наша цель во всей нашей работе по обеспечению безопасности — заранее предотвращать атаки и смягчать последствия этих атак. Мы гордимся работой, которую мы делаем, чтобы обеспечить безопасность Base, и хотя даже самые лучшие средства управления иногда дают сбой, мы всегда учимся и делаем лучше.

Мы не можем дождаться скорейшего запуска Base в основную сеть и продолжать строить с соблюдением строгих стандартов безопасности, чтобы разработчики могли уверенно участвовать в блокчейне.