El objetivo de Base es traer a los próximos millones de desarrolladores y mil millones de usuarios a onchain. La seguridad es una parte esencial de esta visión. Queremos compartir cómo hemos abordado la seguridad en Base hasta la fecha, cómo nos estamos preparando para un lanzamiento seguro de la mainnet con auditorías de seguridad internas y externas, y cómo nos basamos en las mejores prácticas de Coinbase en seguridad onchain.
Base está construido en el OP Stack, en colaboración con Optimism. Esto significa que, desde el principio, estamos construyendo sobre una increíble cantidad de trabajo de seguridad realizado por el equipo de OP Labs y la comunidad de Optimism en general, incluyendo múltiples auditorías tanto de firmas dedicadas como de concursos comunitarios.
Para poner a prueba aún más la seguridad del OP Stack, Coinbase encargó una auditoría interna de su equipo de Protocol Security. El equipo de Protocol Security de Coinbase es un grupo dedicado que trabaja estrechamente con los desarrolladores onchain de la compañía para asegurar cualquier producto o servicio nuevo que construyamos, incluyendo la auditoría de contratos inteligentes y revisiones de blockchain novedosas.
Durante los últimos 6 meses, el equipo de Protocol Security ha trabajado en estrecha colaboración con OP Labs para mejorar la seguridad de Base y Optimism, incluyendo:
Auditar todas las implementaciones y contratos previos de Optimism en L1 y L2 para identificar vulnerabilidades y riesgos en la tecnología stack.
Utilizar métodos de fuzzing para componentes críticos como el puente L2 y el sequencer.
Desarrollar manuales operativos para varios escenarios de riesgo y ciertos eventos críticos.
Revisar y auditar la configuración de gestión de claves y contratos para Base. Se ha tenido un cuidado considerable en evaluar cada rol y determinar la configuración correcta de la gestión de claves, asegurando que exista un consenso adecuado para el uso de claves y que haya planes de recuperación de desastres suficientes en su lugar.
Completar estas tareas de seguridad en profundidad sin descubrir errores críticos le dio al equipo de Base la confianza para avanzar hacia el lanzamiento de la mainnet.
Sabemos que una buena seguridad requiere de una comunidad, cuanto más ojos podamos tener en un código fuente, mejor. Para preparar Base para la mainnet, involucramos a la comunidad en general a través de un concurso público de auditoría de contratos inteligentes a través de Code4rena para encontrar y reportar errores en cualquier parte del OP Stack. Esto incluyó el software de nodo OP, vulnerabilidades de equivalencia EVM, vulnerabilidades de puente y problemas genéricos de contrato inteligente. Junto a esta auditoría en vivo, el equipo de Protocol Security de Coinbase revisó detenidamente los hallazgos y mitigaciones de programas de auditoría anteriores (spearbit y sherlock).
Involucramos a más de 100 investigadores de seguridad como parte de este concurso, y nos complace informar que no se descubrieron vulnerabilidades significativas. Estamos trabajando activamente para resolver todas las presentaciones, ya que la participación de los investigadores fue alta, y actualmente estamos en el proceso de garantizar una acción adecuada para cualquier problema informativo o menor que se haya informado.
Más allá de asegurar solo el código base del OP Stack, estamos enfocados en mejorar la seguridad del ecosistema Ethereum en su totalidad. Para fortalecer la seguridad de Base y apoyar a otros equipos que ejecutan chains construidas en el OP Stack, estamos desarrollando una herramienta de monitoreo de código abierto, Pessimism, para proporcionar una notificación rápida de anomalías en el protocolo y la red, como irregularidades en el saldo de la cuenta, eventos de contrato o disparidades entre los estados L1 y L2. Esta nueva herramienta de monitoreo se complementará con las herramientas de monitoreo existentes de OP Labs (es decir, Fault-Detector), las capacidades internas de monitoreo de blockchain de Coinbase y las herramientas de terceros para identificar eventos maliciosos y fuera de patrón. Esté atento a más detalles sobre nuestra herramienta de seguimiento en los próximos meses.
Además, estamos desarrollando herramientas para permitir que los builders aumenten su confianza en la seguridad de los contratos inteligentes que implementan, incluyendo el desarrollo de una herramienta de escaneo de seguridad de contratos inteligentes para ayudar a los desarrolladores a reducir las posibilidades de escribir una vulnerabilidad de seguridad en sus contratos. Los desarrolladores pueden utilizar esta herramienta para escanear rápidamente sus contratos y obtener resultados de múltiples herramientas de detección de vulnerabilidades de código abierto, incluyendo el propio analizador de rasgos seguros de Coinbase. Puedes obtener más información sobre este trabajo en nuestra reciente publicación de blog de Coinbase.
Base ha sido desarrollado con una mentalidad centrada en la seguridad, combinando las mejores prácticas de seguridad de Coinbase con la rigurosidad de la seguridad descentralizada de un código fuente de código abierto. Parte de esto es partir de la suposición de que pueden ocurrir cosas malas y que los ataques se volverán cada vez más sofisticados. En esa línea, hemos llevado a cabo ejercicios simulados para probar y mejorar nuestras capacidades de respuesta y la resiliencia general de Base en caso de un incidente a gran escala.
Nuestro objetivo con todo nuestro trabajo de seguridad es prever los problemas y reducir la eficacia de estos ataques. Estamos orgullosos del trabajo que hemos realizado para asegurar Base y, aunque incluso los mejores controles a veces fallarán, siempre aprenderemos y lo haremos mejor.
Estamos ansiosos por llevar Base a la mainnet pronto, continuando construyendo con estándares de seguridad intransigentes para garantizar que los desarrolladores puedan llegar a onchain con confianza.

