O objetivo da Base é trazer o próximo lote de milhões de desenvolvedores e bilhões de usuários para o blockchain. A segurança é uma parte importante dessa visão. Queríamos compartilhar sobre nossa abordagem de segurança até o momento na Base, como estamos nos preparando para um lançamento seguro da mainnet por meio de auditorias de segurança internas e externas e como estamos utilizando as melhores práticas da Coinbase em segurança on-chain.
A segurança é fornecida pelo Open Source OP Stack
O Base é construído no OP Stack, desenvolvido em colaboração com a Optimism. Isso significa que, desde o início, estamos desenvolvendo o extenso trabalho de segurança da equipe do OP Labs e da comunidade mais ampla do Optimism, incluindo várias auditorias de empresas profissionais e competições da comunidade.
Para testar ainda mais a segurança do OP Stack, a Coinbase encomendou uma auditoria interna por sua equipe de segurança de protocolo. A equipe de protocolo de segurança da Coinbase é uma equipe dedicada que trabalha em estreita colaboração com desenvolvedores on-chain dentro da empresa para garantir que qualquer novo produto ou serviço que construímos seja seguro, incluindo auditorias de contratos inteligentes e novo escrutínio de blockchain.
A equipe de segurança do protocolo trabalhou em estreita colaboração com o OP Labs nos últimos 6 meses para fortalecer a segurança do Base and Optimism, incluindo:
Auditei todas as pré-implantações e contratos da Optimism, incluindo L1 e L2, para identificar vulnerabilidades e riscos na pilha de tecnologia.
Use métodos fuzzing em componentes-chave como ponte L2 e sequenciador.
Desenvolvi runbooks operacionais para diversos cenários de risco e emergências específicas.
Revisado e auditado a configuração e os contratos de gerenciamento de chaves da Base. Avaliamos cada função com muito cuidado e determinamos a configuração correta de gerenciamento de chaves, garantimos que houvesse um consenso adequado ao usar as chaves e tínhamos planos de recuperação de desastres adequados em vigor.
Concluir esses fluxos de trabalho de segurança detalhados sem encontrar vulnerabilidades críticas deu à equipe da Base a confiança necessária para avançar com o lançamento da rede principal.
Expandir o escopo da auditoria de guarda externa
Sabemos que uma boa segurança é um esforço coletivo - quanto mais escrutínio uma base de código puder fazer, melhor. Em preparação para o lançamento da rede principal do Base, realizamos uma competição aberta de auditoria de contrato inteligente via Code 4 rena, convidando a comunidade em geral a participar da descoberta e relatório de vulnerabilidades em qualquer parte do OP Stack. Isso inclui software de nó OP, vulnerabilidades de equivalência EVM, vulnerabilidades de ponte e problemas gerais de contrato inteligente. Ao mesmo tempo, a equipe de segurança de protocolo da Coinbase conduziu uma revisão completa das descobertas e mitigações de programas de auditoria anteriores (spearbit e sherlock).
Nesta competição, atraímos mais de 100 pesquisadores de segurança para participar e temos o prazer de informar que nenhuma vulnerabilidade importante foi encontrada. Devido ao alto nível de envolvimento do pesquisador, estamos abordando ativamente todos os problemas enviados e garantindo que sejam tomadas as medidas apropriadas sobre quaisquer problemas informativos ou menores relatados.
Ecossistema Empoderador
Além de proteger a base de código principal do OP Stack, estamos focados em melhorar a segurança geral do ecossistema Ethereum. Para fortalecer a segurança da Base e apoiar outras equipes que constroem cadeias OP Stack, estamos desenvolvendo uma ferramenta de monitoramento de código aberto Pessimism para notificação oportuna de anomalias no protocolo e na rede, como saldos anormais de contas, eventos de contrato ou L Difference entre os estados 1 e L2. Essa nova ferramenta de monitoramento funcionará junto com as ferramentas de monitoramento existentes do OP Labs, como o Fault-Detector, os recursos internos de monitoramento de blockchain da Coinbase e ferramentas de terceiros para identificar eventos maliciosos e anômalos. Saiba mais detalhes sobre nossas ferramentas de monitoramento nos próximos meses.
Além disso, estamos desenvolvendo ferramentas para permitir que os desenvolvedores aumentem a confiança na segurança dos contratos inteligentes implantados, incluindo o desenvolvimento de ferramentas de verificação de segurança de contratos inteligentes para ajudar os desenvolvedores a reduzir a chance de escrever vulnerabilidades de segurança em contratos. Os desenvolvedores podem usar a ferramenta para verificar seus contratos de maneira rápida e fácil e obter resultados de várias ferramentas de detecção de vulnerabilidade de código aberto, incluindo o Security Feature Analyzer da própria Coinbase. Você pode ler mais sobre esse trabalho em nossa recente postagem no blog da Coinbase.
Inicie a rede principal com o conceito de segurança primeiro
O Base foi desenvolvido com segurança em primeiro lugar, combinando as melhores práticas de segurança da Coinbase com o rigor de segurança descentralizado de uma base de código de código aberto. Parte disso está partindo da suposição de que eventos maliciosos provavelmente ocorrerão e reconhecendo que os ataques se tornarão mais sofisticados. Portanto, realizamos exercícios de simulação para testar e melhorar nossa capacidade de resposta a incidentes de grande escala e a resiliência geral da Base.
Nosso objetivo em todo o nosso trabalho de segurança é prevenir ataques com antecedência e mitigar os efeitos desses ataques. Temos orgulho do trabalho que fazemos para manter a Base segura e, mesmo que os melhores controles às vezes falhem, estamos sempre aprendendo e melhorando.
Mal podemos esperar para enviar o Base para a rede principal em breve e continuar a construir com padrões de segurança rígidos para garantir que os desenvolvedores possam participar do blockchain com confiança.
Ver original
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Estratégia de prioridade de segurança da base
O objetivo da Base é trazer o próximo lote de milhões de desenvolvedores e bilhões de usuários para o blockchain. A segurança é uma parte importante dessa visão. Queríamos compartilhar sobre nossa abordagem de segurança até o momento na Base, como estamos nos preparando para um lançamento seguro da mainnet por meio de auditorias de segurança internas e externas e como estamos utilizando as melhores práticas da Coinbase em segurança on-chain.
A segurança é fornecida pelo Open Source OP Stack
O Base é construído no OP Stack, desenvolvido em colaboração com a Optimism. Isso significa que, desde o início, estamos desenvolvendo o extenso trabalho de segurança da equipe do OP Labs e da comunidade mais ampla do Optimism, incluindo várias auditorias de empresas profissionais e competições da comunidade.
Para testar ainda mais a segurança do OP Stack, a Coinbase encomendou uma auditoria interna por sua equipe de segurança de protocolo. A equipe de protocolo de segurança da Coinbase é uma equipe dedicada que trabalha em estreita colaboração com desenvolvedores on-chain dentro da empresa para garantir que qualquer novo produto ou serviço que construímos seja seguro, incluindo auditorias de contratos inteligentes e novo escrutínio de blockchain.
A equipe de segurança do protocolo trabalhou em estreita colaboração com o OP Labs nos últimos 6 meses para fortalecer a segurança do Base and Optimism, incluindo:
Concluir esses fluxos de trabalho de segurança detalhados sem encontrar vulnerabilidades críticas deu à equipe da Base a confiança necessária para avançar com o lançamento da rede principal.
Expandir o escopo da auditoria de guarda externa
Sabemos que uma boa segurança é um esforço coletivo - quanto mais escrutínio uma base de código puder fazer, melhor. Em preparação para o lançamento da rede principal do Base, realizamos uma competição aberta de auditoria de contrato inteligente via Code 4 rena, convidando a comunidade em geral a participar da descoberta e relatório de vulnerabilidades em qualquer parte do OP Stack. Isso inclui software de nó OP, vulnerabilidades de equivalência EVM, vulnerabilidades de ponte e problemas gerais de contrato inteligente. Ao mesmo tempo, a equipe de segurança de protocolo da Coinbase conduziu uma revisão completa das descobertas e mitigações de programas de auditoria anteriores (spearbit e sherlock).
Nesta competição, atraímos mais de 100 pesquisadores de segurança para participar e temos o prazer de informar que nenhuma vulnerabilidade importante foi encontrada. Devido ao alto nível de envolvimento do pesquisador, estamos abordando ativamente todos os problemas enviados e garantindo que sejam tomadas as medidas apropriadas sobre quaisquer problemas informativos ou menores relatados.
Ecossistema Empoderador
Além de proteger a base de código principal do OP Stack, estamos focados em melhorar a segurança geral do ecossistema Ethereum. Para fortalecer a segurança da Base e apoiar outras equipes que constroem cadeias OP Stack, estamos desenvolvendo uma ferramenta de monitoramento de código aberto Pessimism para notificação oportuna de anomalias no protocolo e na rede, como saldos anormais de contas, eventos de contrato ou L Difference entre os estados 1 e L2. Essa nova ferramenta de monitoramento funcionará junto com as ferramentas de monitoramento existentes do OP Labs, como o Fault-Detector, os recursos internos de monitoramento de blockchain da Coinbase e ferramentas de terceiros para identificar eventos maliciosos e anômalos. Saiba mais detalhes sobre nossas ferramentas de monitoramento nos próximos meses.
Além disso, estamos desenvolvendo ferramentas para permitir que os desenvolvedores aumentem a confiança na segurança dos contratos inteligentes implantados, incluindo o desenvolvimento de ferramentas de verificação de segurança de contratos inteligentes para ajudar os desenvolvedores a reduzir a chance de escrever vulnerabilidades de segurança em contratos. Os desenvolvedores podem usar a ferramenta para verificar seus contratos de maneira rápida e fácil e obter resultados de várias ferramentas de detecção de vulnerabilidade de código aberto, incluindo o Security Feature Analyzer da própria Coinbase. Você pode ler mais sobre esse trabalho em nossa recente postagem no blog da Coinbase.
Inicie a rede principal com o conceito de segurança primeiro
O Base foi desenvolvido com segurança em primeiro lugar, combinando as melhores práticas de segurança da Coinbase com o rigor de segurança descentralizado de uma base de código de código aberto. Parte disso está partindo da suposição de que eventos maliciosos provavelmente ocorrerão e reconhecendo que os ataques se tornarão mais sofisticados. Portanto, realizamos exercícios de simulação para testar e melhorar nossa capacidade de resposta a incidentes de grande escala e a resiliência geral da Base.
Nosso objetivo em todo o nosso trabalho de segurança é prevenir ataques com antecedência e mitigar os efeitos desses ataques. Temos orgulho do trabalho que fazemos para manter a Base segura e, mesmo que os melhores controles às vezes falhem, estamos sempre aprendendo e melhorando.
Mal podemos esperar para enviar o Base para a rede principal em breve e continuar a construir com padrões de segurança rígidos para garantir que os desenvolvedores possam participar do blockchain com confiança.