Mục tiêu của Base là đưa hàng triệu nhà phát triển và hàng tỷ người dùng tiếp theo vào chuỗi khối. An toàn là một phần quan trọng của tầm nhìn này. Chúng tôi muốn chia sẻ về cách tiếp cận bảo mật của chúng tôi cho đến nay trên Base và cách chúng tôi chuẩn bị cho việc khởi chạy mạng chính an toàn thông qua kiểm tra bảo mật bên trong và bên ngoài cũng như cách chúng tôi dựa trên các phương pháp hay nhất của Coinbase về bảo mật trên chuỗi .
Bảo mật được cung cấp bởi OP Stack mã nguồn mở
Base được xây dựng dựa trên OP Stack, được phát triển với sự cộng tác của Optimism . Điều này có nghĩa là ngay từ đầu, chúng tôi đang xây dựng dựa trên công việc bảo mật mở rộng của nhóm OP Labs và cộng đồng Lạc quan rộng lớn hơn, bao gồm nhiều cuộc kiểm tra từ các công ty chuyên nghiệp và các cuộc thi cộng đồng.
Để kiểm tra thêm tính bảo mật của OP Stack, Coinbase đã ủy thác kiểm tra nội bộ bởi nhóm bảo mật giao thức của mình. Nhóm Bảo mật Giao thức của Coinbase là một nhóm chuyên trách hợp tác chặt chẽ với các nhà phát triển trên chuỗi trong công ty để đảm bảo rằng mọi sản phẩm hoặc dịch vụ mới mà chúng tôi xây dựng đều an toàn, bao gồm kiểm toán hợp đồng thông minh và giám sát chuỗi khối mới.
Nhóm bảo mật giao thức đã hợp tác chặt chẽ với OP Labs trong 6 tháng qua để tăng cường bảo mật cho Base và Optimism, bao gồm:
- Đã kiểm tra tất cả các hợp đồng và hợp đồng trước khi triển khai của Optimism, bao gồm cả L1 và L2, để xác định các lỗ hổng và rủi ro trong ngăn xếp công nghệ.
- Sử dụng phương pháp làm mờ trên các thành phần quan trọng như cầu nối L2 và bộ giải trình tự.
- Phát triển sổ tay hoạt động cho các kịch bản rủi ro khác nhau và các trường hợp khẩn cấp cụ thể.
- Đã xem xét và kiểm toán các hợp đồng và thiết lập quản lý khóa của Base. Chúng tôi đã đánh giá từng vai trò rất cẩn thận và xác định cấu hình quản lý khóa chính xác, đảm bảo rằng có sự đồng thuận thích hợp khi sử dụng khóa và có sẵn các kế hoạch khắc phục thảm họa phù hợp.
Việc hoàn thành các quy trình bảo mật chuyên sâu này mà không tìm thấy các lỗ hổng nghiêm trọng đã mang lại cho nhóm Base sự tự tin để tiếp tục với việc ra mắt mạng chính.
Mở rộng phạm vi kiểm toán giám hộ bên ngoài
Chúng tôi biết rằng bảo mật tốt là nỗ lực chung – cơ sở mã càng được xem xét kỹ càng thì càng tốt. Để chuẩn bị cho việc ra mắt mạng chính của Base, chúng tôi đã tổ chức một cuộc thi kiểm tra hợp đồng thông minh mở thông qua Code 4 rena, mời cộng đồng rộng lớn hơn tham gia tìm kiếm và báo cáo các lỗ hổng trong bất kỳ phần nào của OP Stack. Điều này bao gồm phần mềm nút OP, lỗ hổng tương đương EVM, lỗ hổng bắc cầu và các vấn đề chung về hợp đồng thông minh. Đồng thời, nhóm bảo mật giao thức của Coinbase đã tiến hành đánh giá kỹ lưỡng các phát hiện và biện pháp giảm thiểu từ các chương trình kiểm toán trước đây (spearbit và sherlock).
Trong cuộc thi này, chúng tôi đã thu hút hơn 100 nhà nghiên cứu bảo mật tham gia và vui mừng thông báo rằng không có lỗ hổng nghiêm trọng nào được tìm thấy. Do mức độ tham gia của nhà nghiên cứu cao, chúng tôi đang tích cực giải quyết tất cả các vấn đề được gửi và đảm bảo hành động thích hợp được thực hiện đối với bất kỳ vấn đề thông tin hoặc vấn đề nhỏ nào được báo cáo.
Trao quyền cho hệ sinh thái
Ngoài việc bảo mật cơ sở mã OP Stack cốt lõi, chúng tôi còn tập trung vào việc tăng cường bảo mật tổng thể của hệ sinh thái Ethereum. Để tăng cường tính bảo mật của Base và hỗ trợ các nhóm khác xây dựng chuỗi OP Stack, chúng tôi đang phát triển một công cụ giám sát nguồn mở Bi quan để thông báo kịp thời về những bất thường trong giao thức và mạng, chẳng hạn như số dư tài khoản bất thường, sự kiện hợp đồng hoặc L Difference giữa trạng thái 1 và L2. Công cụ giám sát mới này sẽ hoạt động cùng với các công cụ giám sát OP Labs hiện có như Fault-Detector, khả năng giám sát chuỗi khối nội bộ của Coinbase và các công cụ của bên thứ ba để xác định các sự kiện độc hại và bất thường. Vui lòng tìm hiểu thêm chi tiết về các công cụ giám sát của chúng tôi trong những tháng tới.
Ngoài ra, chúng tôi đang phát triển các công cụ cho phép các nhà phát triển tăng cường sự tin tưởng vào tính bảo mật của các hợp đồng thông minh đã triển khai, bao gồm việc phát triển các công cụ quét bảo mật hợp đồng thông minh để giúp các nhà phát triển giảm khả năng viết các lỗ hổng bảo mật trong hợp đồng. Các nhà phát triển có thể sử dụng công cụ này để quét các hợp đồng của họ một cách nhanh chóng và dễ dàng và nhận kết quả từ nhiều công cụ phát hiện lỗ hổng nguồn mở, bao gồm cả Trình phân tích tính năng bảo mật của Coinbase. Bạn có thể đọc thêm về công việc này trong bài đăng trên blog Coinbase gần đây của chúng tôi.
Khởi chạy mạng chính với ưu tiên hàng đầu là bảo mật
Base đã được phát triển với tính bảo mật trước tiên, kết hợp các biện pháp bảo mật tốt nhất của Coinbase với tính nghiêm ngặt về bảo mật phi tập trung của một cơ sở mã nguồn mở. Một phần của điều này bắt đầu từ giả định rằng các sự kiện độc hại có khả năng xảy ra và nhận ra rằng các cuộc tấn công sẽ trở nên tinh vi hơn. Do đó, chúng tôi đã tiến hành các bài tập mô phỏng để kiểm tra và cải thiện khả năng ứng phó với các sự cố quy mô lớn cũng như khả năng phục hồi tổng thể của Base.
Mục tiêu của chúng tôi trong tất cả các công việc bảo mật là ngăn chặn trước các cuộc tấn công và giảm thiểu tác động của các cuộc tấn công đó. Chúng tôi tự hào về công việc chúng tôi làm để giữ an toàn cho Base và mặc dù ngay cả những biện pháp kiểm soát tốt nhất đôi khi cũng thất bại, chúng tôi luôn học hỏi và làm tốt hơn.
Chúng tôi nóng lòng muốn sớm đẩy Base lên mạng chính và tiếp tục xây dựng với các tiêu chuẩn bảo mật nghiêm ngặt để đảm bảo các nhà phát triển có thể tự tin tham gia vào chuỗi khối.
