Back to Blog

BlockSecs Perspektiven und Lösungen zur Sicherheit von L2-Blockchains

Code Auditing
February 1, 2024
5 min read

L2-Lösungen gewinnen im Blockchain-Bereich zunehmend an Popularität, um das Skalierbarkeitsproblem von Blockchains zu lösen. Mit L2-Lösungen können Anwendungen sogar eigene Chains, sogenannte Anwendungsketten, entwickeln, um Hochfrequenztransaktionen zu verarbeiten. Laut Daten auf L2beat gibt es 37 aktive Projekte, und der TVL (Stand 1. Februar 2024) beträgt 20,79 Milliarden US-Dollar.

Mit der Popularität von L2-Blockchains haben wir jedoch einige Sicherheitsprobleme festgestellt, die angegangen werden müssen, darunter die Gewährleistung der Sicherheit von privaten Schlüsseln, die Sicherung von Cross-Chain- und Top-Protokoll-Transaktionen, die Bereitstellung von Sicherheitsentwicklungs-Infrastrukturen für Entwickler usw.

In diesem Blog werden wir zunächst diese Herausforderungen systematisch beleuchten und anschließend unsere Lösungen vorschlagen.

Warum L2

Warum brauchen wir L2-Blockchains? Wir sind der Meinung, dass es aus technischer und finanzieller Sicht verschiedene Gründe gibt.

Technische Perspektive

Die treibende Kraft hinter L2-Blockchains ist die Lösung des Skalierbarkeitsproblems von L1-Blockchains. Die Grundidee besteht darin, dass anstatt alle Transaktionen in L1-Chains einzureichen (die bereits aufgrund der Blockgröße und des Konsensmechanismus überlastet sind), Transaktionen auf einer separaten Chain (L2-Chain genannt) ausgeführt und nur die Zusammenfassung der Zustandsänderungen in die L1-Chain eingereicht werden können, wie im folgenden Bild von Chainlink gezeigt.

Bildquelle: ChainLink

Finanzielle Perspektive

Eine weitere Motivation ist die finanzielle Perspektive, d. h. der Aufbau eines Ökosystems auf einer neuen Anwendungskette. Dies kann für die Anwendungen mehrere Vorteile bieten.

  • Erstens kann die Anwendungskette eine schnellere Transaktionsverarbeitung und geringere Gasverbräuche aufweisen, um Benutzerkosten zu sparen und die Benutzerfreundlichkeit zu verbessern. Dies kann zu einem erhöhten Wirtschaftswachstum für die Anwendungskette führen.

  • Zweitens kann die Chain angepasste Anreizmechanismen für Entwickler und Geschäftspartner bereitstellen. Zum Beispiel können sie die Gasgebühren mit ihnen teilen und sogar neue Märkte wie Transaktionsauktionen anbieten.

  • Drittens kann die Chain durch den Aufbau eines Ökosystems mehr Geschäftspartner einladen, diesem System beizutreten, und Anforderungen erfüllen, die auf der L1-Blockchain nicht erfüllt werden können (oder zu teuer sind).

Natürlich beziehen sich die bisherigen Ausführungen auf L2-Chains, die auf Ethereum basieren. Wir sehen auch einige L2-Lösungen, die als BTC L2 bezeichnet werden. Wir werden sie nicht im Detail erläutern, aber wir sehen, dass einige von ihnen die Liquidität des BTC-Netzwerks (einschließlich BTC und anderer Token wie NFT und Inschriften) nutzen und zu einer EVM-kompatiblen Chain überbrücken.

Sicherheitsanforderungen & Herausforderungen

Wir sind der Meinung, dass es eine Reihe von Sicherheitsherausforderungen gibt, die von den Betreibern von L2-Blockchains berücksichtigt werden müssen. Dies ist umso wichtiger, da L2-Blockchains sehr schnell entstanden sind, so dass die zugrunde liegende Infrastruktur, die Betriebserfahrung und das Sicherheitswissen des Betriebs von L2-Blockchains hinterherhinken. Dies kann zu Schäden für das gesamte Ökosystem jeder L2-Chain führen.

  • Erstens sollte die L2-Chain selbst ein gutes Sicherheitsbewusstsein für die Top-Protokolle auf der Chain haben, insbesondere für die Anwendungskette, in der die meisten TVLs von wenigen Protokollen stammen. Dies erfordert die Fähigkeit, verdächtige und bösartige Smart Contracts und Transaktionen in Echtzeit zu erkennen und sofort Maßnahmen zu ergreifen. Ein Verfahren zur Reaktion auf Sicherheitsvorfälle sollte eingerichtet werden, um Angriffe zu bewältigen.

  • Zweitens sollte eine Architektur zur Sicherung der von den L2-Chains verwendeten privaten Schlüssel verwendet werden. Zum Beispiel wird im OP-Rollup-Stack der Sequenzer verwendet, um Blöcke auf L2 zu signieren, und der Batcher wird verwendet, um Transaktionen auf L1 zu veröffentlichen. Wenn diese kritischen privaten Schlüssel kompromittiert werden, ist die gesamte Sicherheit der L2-Chains gefährdet.

  • Drittens sollten Sicherheitstools oder -frameworks für die Chain entwickelt werden. Zum Beispiel sollten Tools zur Analyse verdächtiger Transaktionen und zur Durchführung von Sicherheitstests entwickelt werden. Sicherheitsforscher aus der Community können diese Tools nutzen, um Transaktionen zu analysieren und ihre Sicherheitsauswirkungen schnell zu verstehen.

  • Nicht zuletzt sollte die Sicherheit der zugrunde liegenden Cloud-Infrastruktur für die L2-Chains berücksichtigt werden. Beispielsweise können L2-Nodes von DDoS-Angriffen betroffen sein, und die Zugriffstoken der Cloud-Infrastruktur könnten auf verschiedene Weise kompromittiert werden, z. B. durch Social-Engineering-Angriffe. Minderungsmaßnahmen und Sicherheitspolitiken sollten im Voraus vorbereitet werden.

Unsere Lösung

Als Full-Stack-Sicherheitsanbieter kann BlockSec ein tiefgreifender Sicherheitspartner sein und L2-Blockchains durch unsere Dienstleistungen und Tools absichern.

  • Hochwertige Überprüfung von Sicherheitscodes. BlockSec bietet sorgfältige Code-Audit-Dienstleistungen für DeFi-Protokolle an. Durch die Nutzung von statischen Analysewerkzeugen, dynamischem Fuzzing und einem auf akademischer Forschung basierenden Differentialtesting-Framework decken unsere Code-Audits Protokolle und die zugrunde liegende EVM-Ausführungs-Engine ab. Wir haben mehrere Schwachstellen in der Blockchain-Ausführungs-Engine (EVM und RBPF) entdeckt und dafür mehr als 1 Million US-Dollar erhalten.

  • Überwachung und Blockierung von Angriffstransaktionen. Mit kampferprobten Techniken kann BlockSec Phalcon L2s bei der Überwachung von Angriffstransaktionen unterstützen, einschließlich direkter Transaktionen an L2 und Cross-Chain-Transaktionen von L1. Darüber hinaus können wir gebrückte Vermögenswerte von anderen L1/L2-Chains über Token-Bridges, z. B. LayerZero oder Celer, absichern. Eine proaktivere Lösung zur Blockierung von Angriffstransaktionen kann tief in die L2-Chains integriert werden (kontaktieren Sie uns für weitere Informationen).

  • Hardwarebasierte Lösung zur Sicherung privater Schlüssel. Wir bieten Dienstleistungen zur Erzeugung und Verwaltung privater Schlüssel und zur Signierung von Transaktionen in sicherer Hardware. Sie bietet alle Vorteile einer Hot Wallet und die Sicherheit einer Cold Wallet. Sie kann Transaktionen sicher signieren, mit der Erweiterbarkeit, bei Bedarf mehr Algorithmen zu unterstützen. Sie ist flexibler, effizienter und praktischer als andere Lösungen wie MPC und HSM.

  • Sicherheitsentwicklungs-Tools und -Plattformen. Der Phalcon Explorer ist ein De-facto-Analysewerkzeug für die Sicherheits-Community zur Analyse von Angriffstransaktionen und zum Verständnis der Ursachen. Er wurde von der Community genutzt, um hunderte von Sicherheitsvorfällen zu analysieren (https://phalcon.blocksec.com/explorer/security-incidents). Phalcon Fork ist eine Plattform, die verwendet werden kann, um Sicherheitstests auf einem geforkten Netzwerk mit gespiegelten Zuständen durchzuführen. Bitte zögern Sie nicht, uns zu kontaktieren, um Ihre L2-Chains mit unseren Tools zu unterstützen.

  • Sicherheitsvorfallreaktion. BlockSec ist stets der schnellste (wenn nicht gar der erste) Sicherheitsanbieter, der die Ursachen von Angriffen und Schwachstellen bei DeFi-Hacks identifiziert. Wir können Protokolle bei der Überprüfung von Sicherheitspatches unterstützen (Telcoin), die Rettung von Weißgeld ermöglichen [z. B. AnySwap, TransitSwap, Paraspace, Loot], die Geldströme der Hacker verfolgen (https://metasleuth.io) und die Identität des Hopeland-Angreifers ermitteln.

Zusammenfassung

Die Besonderheit der L2-Blockchain schafft Chancen, birgt aber auch ernsthafte Sicherheitsherausforderungen. Unsere Sicherheitslösungen können L2-Blockchains dabei unterstützen, Code zu prüfen, Hacks zu erkennen und zu blockieren, private Schlüssel zu sichern, Sicherheitsentwicklungswerkzeuge bereitzustellen und bei der Lösung von Sicherheitsvorfällen zu helfen.

Kontaktieren Sie uns noch heute ([email protected]), um Ihre L2-Chains abzusichern und das Vertrauen Ihrer Nutzer zu gewinnen!

Sign up for the latest updates
The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis
Security Insights

The Decentralization Dilemma: Cascading Risk and Emergency Power in the KelpDAO Crisis

This BlockSec deep-dive analyzes the KelpDAO $290M rsETH cross-chain bridge exploit (April 18, 2026), attributed to the Lazarus Group, tracing a causal chain across three layers: how a single-point DVN dependency enabled the attack, how DeFi composability cascaded the damage through Aave V3 lending markets to freeze WETH liquidity exceeding $6.7B across Ethereum, Arbitrum, Base, Mantle, and Linea, and how the crisis forced decentralized governance to exercise centralized emergency powers. The article examines three parameters that shaped the cascade's severity (LTV, pool depth, and cross-chain deployment count) and provides an exclusive technical breakdown of Arbitrum Security Council's forced state transition, an atomic contract upgrade that moved 30,766 ETH without the holder's signature.

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 13 – Apr 19, 2026

This BlockSec weekly security report covers four attack incidents detected between April 13 and April 19, 2026, across multiple chains such as Ethereum, Unichain, Arbitrum, and NEAR, with total estimated losses of approximately $310M. The highlighted incident is the $290M KelpDAO rsETH bridge exploit, where an attacker poisoned the RPC infrastructure of the sole LayerZero DVN to fabricate a cross-chain message, triggering a cascading WETH freeze across five chains and an Arbitrum Security Council forced state transition that raises questions about the actual trust boundaries of decentralized systems. Other incidents include a $242K MMR proof forgery on Hyperbridge, a $1.5M signed integer abuse on Dango, and an $18.4M circular swap path exploit on Rhea Finance's Burrowland protocol.

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026
Security Insights

Weekly Web3 Security Incident Roundup | Apr 6 – Apr 12, 2026

This BlockSec weekly security report covers four DeFi attack incidents detected between April 6 and April 12, 2026, across Linea, BNB Chain, Arbitrum, Optimism, Avalanche, and Base, with total estimated losses of approximately $928.6K. Notable incidents include a $517K approval-related exploit where a user mistakenly approved a permissionless SquidMulticall contract enabling arbitrary external calls, a $193K business logic flaw in the HB token's reward-settlement logic that allowed direct AMM reserve manipulation, a $165.6K exploit in Denaria's perpetual DEX caused by a rounding asymmetry compounded with an unsafe cast, and a $53K access control issue in XBITVault caused by an initialization-dependent check that failed open. The report provides detailed vulnerability analysis and attack transaction breakdowns for each incident.

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit