Base 的目標是將下一批上百萬的開發者和數十億的用戶引入區塊鏈。安全是這一願景的重要組成部分。我們希望分享一下我們在Base 上迄今為止所採取的安全方法,以及我們如何通過內部和外部安全審計來為安全的主網發布做好準備,以及我們如何借鑒Coinbase 在鏈上安全方面的最佳實踐。
由開源的OP Stack 提供安全保障
Base 是基於OP Stack 構建的,與Optimism 合作開發。這意味著一開始,我們就在OP Labs 團隊和更廣泛的Optimism 社區的大量安全工作基礎上進行構建,其中包括來自專業公司和社區競賽的多次審計。
為了進一步測試OP Stack 的安全性,Coinbase 委託其協議安全團隊進行了內部審計。 Coinbase 的協議安全團隊是一個專門的團隊,他們與公司內的鏈上開發人員密切合作,確保我們構建的任何新產品或服務都得到安全保障,包括智能合約審計和新型區塊鏈審查。
過去6 個月,協議安全團隊與OP Labs 密切合作,加強了Base 和Optimism 的安全性,包括:
審計了所有Optimism的預部署和合約,包括L1和L2,以識別技術堆棧中的漏洞和風險。
對L2橋接器和序列器等關鍵組件使用模糊測試方法。
制定了各種風險情景和特定緊急事件的操作運行手冊。
審查和審計了Base的密鑰管理設置和合約。我們非常謹慎地評估了每個角色,並確定了正確的密鑰管理配置,確保在使用密鑰時有適當的共識,並製定了充分的災難恢復計劃。
完成了這些深入的安全工作流程,而沒有發現嚴重的漏洞,使Base團隊有信心繼續推進主網發布。
擴大外部守護審計的範圍
我們知道,良好的安全性需要集體的努力-能夠對代碼庫進行更多審查,就越好。為了為Base準備主網發布,我們通過Code4rena進行了一次公開的智能合約審計比賽,邀請更廣泛的社區參與,以發現並報告OP Stack的任何部分的漏洞。這包括OP節點軟件、EVM等價漏洞、橋接漏洞和通用智能合約問題。與此同時,Coinbase的協議安全團隊對過去審計計劃(spearbit和sherlock)的發現和緩解措施進行了徹底的審查。
在這次比賽中,我們吸引了100多名安全研究人員參與,很高興地報告沒有發現重大漏洞。由於研究人員的參與度很高,我們正在積極解決所有提交的問題,並正在確保對報告的任何信息性或次要問題採取適當的行動。
賦能生態系統
除了保護核心OP Stack代碼庫的安全性外,我們專注於增強以太坊生態系統的整體安全性。為了加強Base的安全性,並支持其他基於OP Stack構建的鏈的團隊,我們正在開發一個開源的監控工具Pessimism,用於及時通知協議和網絡中的異常情況,例如賬戶餘額異常、合約事件或L1和L2狀態之間的差異。這個新的監控工具將與現有的OP Labs監控工具(如Fault-Detector)、Coinbase內部區塊鏈監控能力以及用於識別惡意和異常事件的第三方工具一起使用。請在接下來的幾個月裡了解更多關於我們監控工具的細節。
此外,我們正在開發工具,讓開發者增加對部署的智能合約安全性的信心,包括開發智能合約安全掃描工具,幫助開發人員減少在合約中寫入安全漏洞的機會。開發者可以使用該工具快速、簡便地掃描他們的合約,並從多個開源漏洞檢測工具(包括Coinbase自有的安全特性分析器)獲取結果。您可以在我們最近的Coinbase博客文章中了解更多關於這項工作的信息。
以安全為優先的觀念啟動主網
Base的開發始終堅持安全優先的觀念,結合了Coinbase的安全最佳實踐和開源代碼庫的去中心化安全嚴謹性。其中一部分是從惡意事件可能發生的假設出發,並認識到攻擊將變得越來越複雜。因此,我們進行了模擬演練,測試和提升我們在大規模事件發生時的響應能力以及Base整體的彈性。
我們在所有安全工作中的目標是提前預防攻擊,並削弱這些攻擊的效果。我們為確保Base的安全而做的工作感到自豪,雖然即使最好的控制措施有時也會失敗,但我們始終會不斷學習並做得更好。
我們迫不及待地希望很快將Base推向主網,並繼續遵循嚴格的安全標准進行構建,以確保開發者可以充滿信心地參與區塊鏈。