Постоянное обеспечение целостности блокчейн-протоколов через открытые исходные коды и программы вознаграждения за обнаружение уязвимостей @immunefi, @commonwarexyz, @arbitrum Целостность блокчейн-протоколов не является качеством, которое можно завершить с помощью одного разового тестирования или оценки в определённый момент времени, а скорее характеристикой, которая должна поддерживаться и проверяться в течение длительного времени. Современные блокчейн-системы имеют структуру, в которой множество компонентов взаимодействуют между собой, особенно в решениях по масштабированию, таких как rollup, где среда выполнения, мосты, синхронизаторы и механизмы проверки тесно связаны между собой. В таких условиях даже тщательно написанный код может содержать новые уязвимости, возникающие в результате обновлений, изменений конфигурации или изменений экономических стимулов. Поэтому одноразовые аудиты имеют смысл для проверки состояния кода в определённый момент, но имеют явные ограничения в обеспечении целостности протокола в долгосрочной перспективе. Практический опыт работы Arbitrum хорошо иллюстрирует эту особенность. Продуктовый стек Arbitrum состоит из среды выполнения Nitro, контракта одношагового доказательства, инфраструктуры моста, отвечающего за перемещение активов между слоями, логики синхронизатора, определяющего порядок транзакций, и механизма доказательства мошенничества. Эти элементы не существуют изолированно, а взаимодействуют, образуя единую систему. Обновление ArbOS 31 Bianca, проведённое в марте 2024 года, повлияло одновременно на Arbitrum One и Nova, что демонстрирует, как одно обновление может вызвать цепную реакцию изменений в нескольких компонентах сети. Кроме того, с 2024 по 2026 год были проведены шесть основных обновлений ArbOS, и с момента развертывания в тестовой сети, Arbitrum поддерживал относительно короткий цикл разработки, быстро внедряя изменения в основную сеть. Такая скорость создаёт условия, которые трудно приспособить к традиционным процедурам аудита, что может привести к использованию кода, который ещё не прошёл аудит, в реальной среде. Кроме того, уже подтверждено на нескольких примерах, что только проверка кода не позволяет достаточно точно предсказать атаки, происходящие в реальной сети. Хак моста Wormhole в феврале 2022 года и уязвимость моста Polygon Plasma в декабре 2021 года произошли в коде, который прошёл аудит, а атакующие нашли динамические пути атаки, используя не сами уязвимости в коде, а экономические стимулы. Это ясно демонстрирует, что целостность протокола не ограничивается только синтаксической точностью кода, а является многогранным понятием, включающим в себя экономическую структуру, операционные методы и процессы управления. В этой связи повторное использование открытых исходных кодов блокчейн-примитивов становится важной частью стратегии безопасности. Подход так называемого "анти-фреймворка", предложенный Commonware, заключается в разделении базовых функций, таких как сеть, консенсус, криптография, хранение и тестирование, на модульные примитивы. Эти примитивы реализованы в виде библиотек на языке Rust и включают в себя сертифицированную P2P-связь, алгоритмы консенсуса, устойчивые к Byzantine-ошибкам, пороговые подписи и генерацию случайных чисел, абстрактные интерфейсы хранения и компоненты среды выполнения для детерминированного симулирования. Каждый примитив классифицируется по уровню стабильности как альфа, бета, гамма, дельта или эпсилон, и этот рейтинг присваивается на основе объёма тестирования и опыта использования в реальных условиях. Наибольшим преимуществом повторного использования примитивов является снижение рисков реализации. Например, использование уже проверенного математически примитива консенсуса вместо самостоятельной реализации консенсуса, устойчивого к Byzantine-ошибкам, позволяет сократить ошибки реализации, которые часто повторяются. Кроме того, примитивы с высоким уровнем стабильности имеют чётко определённые цели для аудита и программ вознаграждения за обнаружение уязвимостей, что позволяет сосредоточить ресурсы безопасности на ключевых логиках. Окружение детерминированного симулирования, предоставляемое Commonware Runtime, позволяет воссоздавать условия сети и выполнять регрессионное тестирование между версиями, что играет важную роль в поддержании целостности в процессе обновления. Однако такой подход несёт и другие виды рисков. Если несколько протоколов используют один и тот же примитив, это создаёт структурный риск централизации, при котором одна уязвимость может повлиять на всю экосистему. Для смягчения этого риска Commonware внедрил систему рейтинга стабильности, чётко разделил интерфейсы и поощряет конкурирующие реализации одного и того же интерфейса.Невозможно отрицать, что риск может сосредоточиться на уровне проектирования, что делает постоянное выявление уязвимостей важным элементом. На поверхности, требующей целостности протокола в среде роллапа, простор велик. В случае с Arbitrum контракт Nitro-доказателя может содержать математические ошибки или проблемы с расчетом газа, а контракт моста, соединяющий L1 и L2, несет критические риски, такие как хищение средств или блокировка вывода. Логика сиквенсора включает возможность несправедливого извлечения выгоды через цензуру или переупорядочивание транзакций, а механизм управления также может подвергаться атакам, таким как манипуляции с предложениями или обход таймлока. Кроме того, с операционной точки зрения такие факторы, как сбой сиквенсора, сбой управления ключами и отсутствие мониторинга, напрямую влияют на целостность. В качестве средства постоянного выявления различных рисков программа вознаграждений за обнаружение ошибок играет важную роль. Программа вознаграждений за обнаружение ошибок, которую ведет Immunefi, классифицирует степень серьезности по критериям влияния, а для критических уязвимостей, таких как хищение средств или остановка сети, предлагает определенный процент от рискованных активов в качестве вознаграждения. Эта схема спроектирована так, чтобы вознаграждение увеличивалось по мере роста масштаба сети, что в долгосрочной перспективе выравнивает стимулы между исследователями и протоколом. Кроме того, через процедуру ответственного раскрытия, регулирующую момент публикации, уязвимости раскрываются после завершения исправления, чтобы минимизировать ущерб для пользователей. Однако программа вознаграждений за обнаружение ошибок не охватывает все риски. Экономические атаки, такие как извлечение MEV или ошибки в проектировании стимулов, сценарии, злоупотребляющие процедурой управления, а также операционные ошибки часто остаются вне рамок. Фактически, инцидент с Wormhole показывает, что даже при выплате крупного вознаграждения сама авария не была полностью предотвращена. Это указывает на то, что программа вознаграждений за обнаружение ошибок является важным примитивом безопасности, но не представляет собой завершенное решение. Сочетание открытых источников и программ вознаграждений за обнаружение ошибок формирует жизненный цикл системы обеспечения целостности. Примитивы уменьшают вероятность ошибок на этапе реализации, и по мере повышения уровня стабильности становятся объектом внешней проверки и проверки с вознаграждением. Область действия программы вознаграждений за обнаружение ошибок в Arbitrum ограничена текущей версией развертывания, что побуждает исследователей сосредоточиться на коде, в котором действительно есть риски. Когда уязвимость обнаруживается, этот случай отражается в симуляционных тестах, чтобы предотвратить повторение той же проблемы в последующих версиях. В этом процессе также необходимо четко понимать границы ответственности. Администратор примитива должен гарантировать точность и совместимость в пределах интерфейса, а интегратор несет ответственность за безопасное и адекватное сочетание и эксплуатацию в реальной среде. Открытая лицензия ограничивает юридическую ответственность, но фактическая обеспеченность целостности зависит от распределения ролей и сотрудничества. На этапе согласования времени раскрытия уязвимости и выпуска исправления также требуется сотрудничество между различными проектами. Процесс управления и обновления губернаторства также является ключевым элементом поддержания целостности. Arbitrum управляет рисками обновления, используя таймлока для конституционных предложений, периоды проверки сообщений L1, чрезвычайные полномочия Совета безопасности и поэтапную процедуру развертывания через тестнет. Эти процедуры можно рассматривать как попытку сохранить баланс между быстрым реагированием и децентрализацией. В конечном итоге открытые блокчейн-примитивы и постоянные программы вознаграждений за обнаружение ошибок позволяют рассматривать целостность протокола не как одноразовую сертификацию, а как непрерывный процесс. Примитивы сокращают повторяющиеся ошибки реализации, а программы вознаграждений за обнаружение ошибок стимулируют постоянную внешнюю проверку за счет экономических стимулов. Опыт эксплуатации Arbitrum показывает, как работает такое сочетание на реальной крупномасштабной сети, четко демонстрируя, что целостность — это не статичное состояние, а атрибут, который необходимо постоянно проверять и поддерживать. $ARB $ETH $XRP $POL