Time:2023-07-07 Click:108
Base 的目标是将下一批上百万的开发者和数十亿的用户引入区块链。安全是这一愿景的重要组成部分。我们希望分享一下我们在 Base 上迄今为止所采取的安全方法,以及我们如何通过内部和外部安全审计来为安全的主网发布做好准备,以及我们如何借鉴 Coinbase 在链上安全方面的最佳实践。
Base 是基于 OP Stack 构建的,与 Optimism 合作开发。这意味着一开始,我们就在 OP Labs 团队和更广泛的 Optimism 社区的大量安全工作基础上进行构建,其中包括来自专业公司和社区竞赛的多次审计。
为了进一步测试 OP Stack 的安全性,Coinbase 委托其协议安全团队进行了内部审计。Coinbase 的协议安全团队是一个专门的团队,他们与公司内的链上开发人员密切合作,确保我们构建的任何新产品或服务都得到安全保障,包括智能合约审计和新型区块链审查。
过去 6 个月,协议安全团队与 OP Labs 密切合作,加强了 Base 和 Optimism 的安全性,包括:
审计了所有 Optimism 的预部署和合约,包括 L 1 和 L 2 ,以识别技术堆栈中的漏洞和风险。
对 L 2 桥接器和序列器等关键组件使用模糊测试方法。
制定了各种风险情景和特定紧急事件的操作运行手册。
审查和审计了 Base 的密钥管理设置和合约。我们非常谨慎地评估了每个角色,并确定了正确的密钥管理配置,确保在使用密钥时有适当的共识,并制定了充分的灾难恢复计划。
完成了这些深入的安全工作流程,而没有发现严重的漏洞,使 Base 团队有信心继续推进主网发布。
我们知道,良好的安全性需要集体的努力-能够对代码库进行更多审查,就越好。为了为 Base 准备主网发布,我们通过 Code 4 rena 进行了一次公开的智能合约审计比赛,邀请更广泛的社区参与,以发现并报告 OP Stack 的任何部分的漏洞。这包括 OP 节点软件、EVM 等价漏洞、桥接漏洞和通用智能合约问题。与此同时,Coinbase 的协议安全团队对过去审计计划(spearbit 和 sherlock)的发现和缓解措施进行了彻底的审查。
在这次比赛中,我们吸引了 100 多名安全研究人员参与,很高兴地报告没有发现重大漏洞。由于研究人员的参与度很高,我们正在积极解决所有提交的问题,并正在确保对报告的任何信息性或次要问题采取适当的行动。
除了保护核心 OP Stack 代码库的安全性外,我们专注于增强以太坊生态系统的整体安全性。为了加强 Base 的安全性,并支持其他基于 OP Stack 构建的链的团队,我们正在开发一个开源的监控工具 Pessimism,用于及时通知协议和网络中的异常情况,例如账户余额异常、合约事件或 L 1 和 L 2 状态之间的差异。这个新的监控工具将与现有的 OP Labs 监控工具(如 Fault-Detector)、Coinbase 内部区块链监控能力以及用于识别恶意和异常事件的第三方工具一起使用。请在接下来的几个月里了解更多关于我们监控工具的细节。
此外,我们正在开发工具,让开发者增加对部署的智能合约安全性的信心,包括开发智能合约安全扫描工具,帮助开发人员减少在合约中写入安全漏洞的机会。开发者可以使用该工具快速、简便地扫描他们的合约,并从多个开源漏洞检测工具(包括 Coinbase 自有的安全特性分析器)获取结果。您可以在我们最近的 Coinbase 博客文章中了解更多关于这项工作的信息。
Base 的开发始终坚持安全优先的观念,结合了 Coinbase 的安全最佳实践和开源代码库的去中心化安全严谨性。其中一部分是从恶意事件可能发生的假设出发,并认识到攻击将变得越来越复杂。因此,我们进行了模拟演练,测试和提升我们在大规模事件发生时的响应能力以及 Base 整体的弹性。
我们在所有安全工作中的目标是提前预防攻击,并削弱这些攻击的效果。我们为确保 Base 的安全而做的工作感到自豪,虽然即使最好的控制措施有时也会失败,但我们始终会不断学习并做得更好。
我们迫不及待地希望很快将 Base 推向主网,并继续遵循严格的安全标准进行构建,以确保开发者可以充满信心地参与区块链。