Решения L2 в последнее время приобретают значительную популярность в блокчейн-пространстве как способ решения проблемы масштабируемости блокчейнов. С помощью решений L2 приложения могут даже создавать свои собственные цепочки, называемые прикладными цепочками (app-chains), для обработки высокочастотных транзакций. Согласно данным на L2beat, существует 37 активных проектов, а TVL (на 1 февраля 2024 года) составляет 20,79 миллиарда долларов.
Однако с ростом популярности L2-блокчейнов мы обнаружили ряд проблем безопасности, требующих решения, включая обеспечение сохранности закрытых ключей, защиту межсетевых транзакций и транзакций верхнего протокола, предоставление инфраструктуры безопасной разработки для разработчиков и т.д.
В этом блоге мы сначала систематически рассмотрим эти проблемы, а затем предложим наши решения.
Почему L2
Зачем нам нужны L2-блокчейны? Мы считаем, что существуют различные причины с технической и финансовой точек зрения.
Техническая перспектива
Мотивация создания L2-блокчейнов заключается в решении проблемы масштабируемости L1-блокчейнов. Основная идея состоит в том, что вместо отправки всех транзакций в цепочки L1 (которые уже перегружены из-за размера блока и механизма консенсуса), транзакции могут выполняться в отдельной цепочке (называемой цепочкой L2), и только сводка изменений состояния отправляется в цепочку L1, как показано на следующем изображении от Chainlink.
Источник изображения: ChainLink
Финансовая перспектива
Еще одна мотивация обусловлена финансовой перспективой, а именно — построением экосистемы на базе новой прикладной цепочки. Это может дать ряд преимуществ для приложений.
-
Во-первых, прикладная цепочка может обеспечить более быструю обработку транзакций и меньшее потребление газа, что позволяет сэкономить средства пользователей и повысить удобство использования. Это может привести к ускорению экономического роста прикладной цепочки.
-
Во-вторых, цепочка может предоставлять индивидуальные механизмы стимулирования для разработчиков и бизнес-партнеров. Например, они могут делиться комиссией за газ и даже создавать новые рынки, такие как аукционы транзакций.
-
В-третьих, путем построения экосистемы цепочка может привлечь больше бизнес-партнеров для присоединения к этой системе и удовлетворения требований, которые невозможно (или слишком дорого) выполнить в блокчейне L1.
Конечно, все, что мы обсуждали до сих пор, относится к L2-цепочкам на базе Ethereum. Мы также видим некоторые решения L2, называемые BTC L2. Мы не будем подробно их описывать, но отметим, что некоторые из них используют ликвидность, предоставляемую сетью BTC (включая BTC и другие токены, такие как NFT и надписи), и переносят (bridging) ее в EVM-совместимую цепочку.
Требования к безопасности и проблемы
Мы считаем, что существует несколько проблем безопасности, которые должны учитывать операторы L2-блокчейнов. Это крайне важно, поскольку L2-блокчейны появились слишком быстро, поэтому базовая инфраструктура, опыт эксплуатации и знания в области безопасности операторов L2-блокчейнов отстают. Это может нанести ущерб всей экосистеме каждой L2-цепочки.
-
Во-первых, сама L2-цепочка должна иметь хорошее понимание уровня безопасности верхних протоколов в сети, особенно для прикладных цепочек, где основные TVL приходятся на несколько протоколов. Это требует способности обнаруживать подозрительные и вредоносные смарт-контракты и транзакции в режиме реального времени и немедленно принимать меры. Для борьбы с атаками должна быть установлена процедура реагирования на инциденты безопасности.
-
Во-вторых, должна использоваться архитектура для защиты закрытых ключей, используемых L2-цепочками. Например, в стеке OP rollup секвенсор используется для подписи блоков на L2, а батчер — для публикации транзакций в L1. Если эти критически важные закрытые ключи будут скомпрометированы, безопасность всей L2-цепочки окажется под угрозой.
-
В-третьих, для цепочки должны быть разработаны инструменты или фреймворки безопасности. Например, следует создать инструменты для анализа подозрительных транзакций и проведения тестирования безопасности. Специалисты по безопасности из сообщества могут использовать эти инструменты для оперативного анализа транзакций и понимания их влияния на безопасность.
-
И последнее, но не менее важное: необходимо учитывать безопасность базовой облачной инфраструктуры для L2-цепочек. Например, узлы L2 могут подвергаться DDoS-атакам, а токен доступа к облачной инфраструктуре может быть скомпрометирован различными способами, например, в результате атак социальной инженерии. Меры по смягчению последствий и политики безопасности должны быть подготовлены заранее.
Наше решение
Будучи поставщиком комплексных услуг безопасности, BlockSec может стать надежным партнером и помочь обеспечить безопасность L2-блокчейнов с помощью наших сервисов и инструментов.
-
Высококачественный аудит кода безопасности. BlockSec предоставляет услуги тщательного аудита кода для DeFi-протоколов. Используя инструменты статического анализа, динамического фаззинга и фреймворки дифференциального тестирования, опирающиеся на академические исследования, наши аудиты кода охватывают как протоколы, так и базовый механизм выполнения EVM. Мы обнаружили множество уязвимостей в механизме выполнения блокчейна (EVM и RBPF), получив в качестве вознаграждений более 1 млн долларов США.
-
Мониторинг и блокировка атакующих транзакций. С помощью проверенных в деле технологий BlockSec Phalcon может помочь L2 отслеживать атакующие транзакции, включая как прямые транзакции в L2, так и межсетевые транзакции из L1. Кроме того, мы также можем помочь защитить активы, переведенные из других L1/L2-цепочек через токен-мосты, например, LayerZero или Celer. Более того, проактивное решение для блокировки атакующих транзакций может быть глубоко интегрировано в L2-цепочки (свяжитесь с нами для получения дополнительной информации).
-
Аппаратное решение для защиты закрытых ключей. Мы предоставляем услуги по генерации и управлению закрытыми ключами и подписанию транзакций внутри защищенного оборудования. Оно сочетает в себе все преимущества горячего кошелька и безопасность холодного. Оно может безопасно подписывать транзакции с возможностью расширения для поддержки дополнительных алгоритмов, если это необходимо. Это более гибкое, эффективное и практичное решение, чем другие варианты, такие как MPC и HSM.
-
Инструменты и платформы для разработки безопасности. Phalcon Explorer — это фактический стандарт инструмента анализа для сообщества безопасности, позволяющий анализировать атакующие транзакции для выявления первопричин. Он уже использовался сообществом для анализа сотен инцидентов безопасности. Phalcon Fork — это платформа, которую можно использовать для проведения тестирования безопасности в форкнутой сети с зеркалированным состоянием. Пожалуйста, не стесняйтесь обращаться к нам для поддержки ваших L2-цепочек с помощью наших инструментов.
-
Реагирование на инциденты безопасности. BlockSec всегда является самым быстрым (если не первым) поставщиком услуг безопасности, выявляющим первопричины атак и уязвимости при взломах DeFi. Мы можем помочь протоколам проверить патчи безопасности (Telcoin), предоставить услуги по спасению средств (white fund rescue) [например, AnySwap, TransitSwap, Paraspace, Loot], отслеживать поток средств хакера и установить личность злоумышленника Hopeland.
Резюме
Популярность L2-блокчейна создает возможности, но также ставит перед нами серьезные проблемы безопасности. Наши решения по безопасности могут помочь L2-блокчейнам проводить аудит кода, обнаруживать и блокировать взломы, обеспечивать защиту закрытых ключей, предоставлять инструменты разработки безопасности и помогать в разрешении инцидентов безопасности.
Действуйте сегодня, свяжитесь с нами ([email protected]), чтобы обезопасить свои L2-цепочки и завоевать доверие ваших пользователей!
