L'objectif de Base est d'amener le prochain lot de millions de développeurs et de milliards d'utilisateurs à la blockchain. La sécurité est un élément important de cette vision. Nous voulions partager notre approche de sécurité à ce jour sur Base, comment nous nous préparons pour un lancement sécurisé du réseau principal par le biais d'audits de sécurité internes et externes, et comment nous nous appuyons sur les meilleures pratiques de Coinbase en matière de sécurité en chaîne.
La sécurité est assurée par la pile OP open source
Base est construit sur la pile OP, développée en collaboration avec Optimism. Cela signifie que dès le départ, nous nous appuyons sur le vaste travail de sécurité de l'équipe OP Labs et de la communauté Optimism au sens large, y compris de multiples audits de cabinets professionnels et de compétitions communautaires.
Pour tester davantage la sécurité de la pile OP, Coinbase a commandé un audit interne par son équipe de sécurité du protocole. L'équipe de sécurité des protocoles de Coinbase est une équipe dédiée qui travaille en étroite collaboration avec les développeurs en chaîne au sein de l'entreprise pour s'assurer que tout nouveau produit ou service que nous construisons est sécurisé, y compris des audits de contrats intelligents et un nouvel examen de la blockchain.
L'équipe de sécurité du protocole a travaillé en étroite collaboration avec OP Labs au cours des 6 derniers mois pour renforcer la sécurité de Base et Optimism, notamment :
Audité tous les pré-déploiements et contrats d'Optimism, y compris L1 et L2, pour identifier les vulnérabilités et les risques dans la pile technologique.
Utilisez des méthodes de fuzzing sur des composants clés comme le pont L2 et le séquenceur.
Développer des runbooks opérationnels pour divers scénarios de risques et urgences spécifiques.
Examen et audit de la configuration et des contrats de gestion des clés de Base. Nous avons évalué chaque rôle très attentivement et déterminé la bonne configuration de gestion des clés, nous nous sommes assurés qu'il y avait un consensus approprié lors de l'utilisation des clés et nous avions mis en place des plans de reprise après sinistre adéquats.
L'achèvement de ces flux de travail de sécurité approfondis sans trouver de vulnérabilités critiques a donné à l'équipe de base la confiance nécessaire pour aller de l'avant avec le lancement du réseau principal.
Étendre la portée de l'audit de garde externe
Nous savons qu'une bonne sécurité est un effort collectif - plus une base de code peut être minutieuse, mieux c'est. En préparation du lancement du réseau principal de Base, nous avons organisé un concours ouvert d'audit de contrats intelligents via Code 4 rena, invitant la communauté au sens large à participer à la recherche et au signalement des vulnérabilités dans n'importe quelle partie de la pile OP. Cela inclut le logiciel de nœud OP, les vulnérabilités d'équivalence EVM, les vulnérabilités de pontage et les problèmes généraux de contrat intelligent. Dans le même temps, l'équipe de sécurité du protocole de Coinbase a mené un examen approfondi des conclusions et des mesures d'atténuation des programmes d'audit antérieurs (spearbit et sherlock).
Dans ce concours, nous avons attiré plus de 100 chercheurs en sécurité pour participer et nous sommes heureux d'annoncer qu'aucune vulnérabilité majeure n'a été trouvée. En raison du niveau élevé d'engagement des chercheurs, nous traitons activement tous les problèmes soumis et veillons à ce que des mesures appropriées soient prises pour tout problème d'information ou mineur signalé.
Écosystème autonomisant
En plus de sécuriser la base de code principale d'OP Stack, nous nous concentrons sur l'amélioration de la sécurité globale de l'écosystème Ethereum. Afin de renforcer la sécurité de Base et de soutenir d'autres équipes s'appuyant sur les chaînes OP Stack, nous développons un outil de surveillance open source Pessimism pour la notification en temps opportun des anomalies dans le protocole et le réseau, telles que des soldes de compte anormaux, des événements contractuels ou L Différence entre les états 1 et L2. Ce nouvel outil de surveillance fonctionnera aux côtés des outils de surveillance OP Labs existants tels que Fault-Detector, les capacités de surveillance interne de la blockchain de Coinbase et des outils tiers pour identifier les événements malveillants et anormaux. Veuillez en savoir plus sur nos outils de surveillance dans les mois à venir.
En outre, nous développons des outils pour permettre aux développeurs d'accroître la confiance dans la sécurité des contrats intelligents déployés, notamment en développant des outils d'analyse de la sécurité des contrats intelligents pour aider les développeurs à réduire le risque d'écrire des vulnérabilités de sécurité dans les contrats. Les développeurs peuvent utiliser l'outil pour analyser rapidement et facilement leurs contrats et obtenir des résultats à partir de plusieurs outils de détection de vulnérabilité open source, y compris le propre analyseur de fonctionnalités de sécurité de Coinbase. Vous pouvez en savoir plus sur ce travail dans notre récent article de blog Coinbase.
Démarrer le réseau principal avec le concept de sécurité d'abord
Base a été développé avec la sécurité d'abord, combinant les meilleures pratiques de sécurité de Coinbase avec la rigueur de sécurité décentralisée d'une base de code open source. Cela consiste en partie à partir de l'hypothèse que des événements malveillants sont susceptibles de se produire et à reconnaître que les attaques deviendront plus sophistiquées. Par conséquent, nous avons mené des exercices de simulation pour tester et améliorer notre capacité à réagir aux incidents à grande échelle et la résilience globale de Base.
Notre objectif dans l'ensemble de notre travail de sécurité est de prévenir les attaques à l'avance et d'atténuer les effets de ces attaques. Nous sommes fiers du travail que nous accomplissons pour assurer la sécurité de Base, et bien que même les meilleurs contrôles échouent parfois, nous apprenons toujours et nous nous améliorons.
Nous avons hâte de pousser bientôt Base vers le réseau principal et de continuer à construire avec des normes de sécurité strictes pour garantir que les développeurs puissent participer à la blockchain en toute confiance.
Voir l'original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Stratégie prioritaire de sécurité de Base
L'objectif de Base est d'amener le prochain lot de millions de développeurs et de milliards d'utilisateurs à la blockchain. La sécurité est un élément important de cette vision. Nous voulions partager notre approche de sécurité à ce jour sur Base, comment nous nous préparons pour un lancement sécurisé du réseau principal par le biais d'audits de sécurité internes et externes, et comment nous nous appuyons sur les meilleures pratiques de Coinbase en matière de sécurité en chaîne.
La sécurité est assurée par la pile OP open source
Base est construit sur la pile OP, développée en collaboration avec Optimism. Cela signifie que dès le départ, nous nous appuyons sur le vaste travail de sécurité de l'équipe OP Labs et de la communauté Optimism au sens large, y compris de multiples audits de cabinets professionnels et de compétitions communautaires.
Pour tester davantage la sécurité de la pile OP, Coinbase a commandé un audit interne par son équipe de sécurité du protocole. L'équipe de sécurité des protocoles de Coinbase est une équipe dédiée qui travaille en étroite collaboration avec les développeurs en chaîne au sein de l'entreprise pour s'assurer que tout nouveau produit ou service que nous construisons est sécurisé, y compris des audits de contrats intelligents et un nouvel examen de la blockchain.
L'équipe de sécurité du protocole a travaillé en étroite collaboration avec OP Labs au cours des 6 derniers mois pour renforcer la sécurité de Base et Optimism, notamment :
L'achèvement de ces flux de travail de sécurité approfondis sans trouver de vulnérabilités critiques a donné à l'équipe de base la confiance nécessaire pour aller de l'avant avec le lancement du réseau principal.
Étendre la portée de l'audit de garde externe
Nous savons qu'une bonne sécurité est un effort collectif - plus une base de code peut être minutieuse, mieux c'est. En préparation du lancement du réseau principal de Base, nous avons organisé un concours ouvert d'audit de contrats intelligents via Code 4 rena, invitant la communauté au sens large à participer à la recherche et au signalement des vulnérabilités dans n'importe quelle partie de la pile OP. Cela inclut le logiciel de nœud OP, les vulnérabilités d'équivalence EVM, les vulnérabilités de pontage et les problèmes généraux de contrat intelligent. Dans le même temps, l'équipe de sécurité du protocole de Coinbase a mené un examen approfondi des conclusions et des mesures d'atténuation des programmes d'audit antérieurs (spearbit et sherlock).
Dans ce concours, nous avons attiré plus de 100 chercheurs en sécurité pour participer et nous sommes heureux d'annoncer qu'aucune vulnérabilité majeure n'a été trouvée. En raison du niveau élevé d'engagement des chercheurs, nous traitons activement tous les problèmes soumis et veillons à ce que des mesures appropriées soient prises pour tout problème d'information ou mineur signalé.
Écosystème autonomisant
En plus de sécuriser la base de code principale d'OP Stack, nous nous concentrons sur l'amélioration de la sécurité globale de l'écosystème Ethereum. Afin de renforcer la sécurité de Base et de soutenir d'autres équipes s'appuyant sur les chaînes OP Stack, nous développons un outil de surveillance open source Pessimism pour la notification en temps opportun des anomalies dans le protocole et le réseau, telles que des soldes de compte anormaux, des événements contractuels ou L Différence entre les états 1 et L2. Ce nouvel outil de surveillance fonctionnera aux côtés des outils de surveillance OP Labs existants tels que Fault-Detector, les capacités de surveillance interne de la blockchain de Coinbase et des outils tiers pour identifier les événements malveillants et anormaux. Veuillez en savoir plus sur nos outils de surveillance dans les mois à venir.
En outre, nous développons des outils pour permettre aux développeurs d'accroître la confiance dans la sécurité des contrats intelligents déployés, notamment en développant des outils d'analyse de la sécurité des contrats intelligents pour aider les développeurs à réduire le risque d'écrire des vulnérabilités de sécurité dans les contrats. Les développeurs peuvent utiliser l'outil pour analyser rapidement et facilement leurs contrats et obtenir des résultats à partir de plusieurs outils de détection de vulnérabilité open source, y compris le propre analyseur de fonctionnalités de sécurité de Coinbase. Vous pouvez en savoir plus sur ce travail dans notre récent article de blog Coinbase.
Démarrer le réseau principal avec le concept de sécurité d'abord
Base a été développé avec la sécurité d'abord, combinant les meilleures pratiques de sécurité de Coinbase avec la rigueur de sécurité décentralisée d'une base de code open source. Cela consiste en partie à partir de l'hypothèse que des événements malveillants sont susceptibles de se produire et à reconnaître que les attaques deviendront plus sophistiquées. Par conséquent, nous avons mené des exercices de simulation pour tester et améliorer notre capacité à réagir aux incidents à grande échelle et la résilience globale de Base.
Notre objectif dans l'ensemble de notre travail de sécurité est de prévenir les attaques à l'avance et d'atténuer les effets de ces attaques. Nous sommes fiers du travail que nous accomplissons pour assurer la sécurité de Base, et bien que même les meilleurs contrôles échouent parfois, nous apprenons toujours et nous nous améliorons.
Nous avons hâte de pousser bientôt Base vers le réseau principal et de continuer à construire avec des normes de sécurité strictes pour garantir que les développeurs puissent participer à la blockchain en toute confiance.