BlockSec CEO周亚金教授在MEV Shanghai

随着2024上海区块链国际周的盛大开启，BlockSec荣幸受邀参加了由Panta Rhei主办的MEV Shanghai，并在会上展示了针对二层网络的安全创新成果——Sequencer Threat Overwatch Program（简称S.T.O.P）。依托于BlockSec Phalcon卓越的攻击检测能力，S.T.O.P为Layer2带来了创新性安全解决方案。现在，我们将带大家深入了解整个S.T.O.P，包括其技术优势、应用案例、以及它如何为二层网络的安全防护树立新的标杆。

背景概览Layer2如何提升区块链的可扩展性？

近几年Layer2凭借着大幅提升区块链可扩展性的优势发展迅速。根据L2BEAT数据显示，目前活跃的Layer2项目有58个，总TVL（截止2024年6月26日）超过430亿美元。

Layer2的核心目标是解决Layer1（例如以太坊）的可扩展性问题，而实现这一目标的方法主要是通过Rollup技术，它允许在Layer2上的交易被打包执行后，结果（即状态变化）被提交到Layer1上。这样，Layer2的安全性就得到了Layer1的保障，而Layer1的安全性则由其背后的共识机制来进一步维护。下图展示了基于Rollup技术的Layer2基本架构和运作原理。

图片来自https://ethereum.org/en/layer-2/

目前 Rollup主要分为两类，即Zero-knowledge rollups和Optimistic rollups。

Zero-knowledge rollups的基本思想是将一批交易汇总在一起，只在Layer 1上提交必要的摘要，而这些交易在Layer2上的状态变化及其验证证明，可以通过密码学方法进行验证，从而确保交易的安全性。

Optimistic rollups之所以被称为“Optimistic”，是因为它们假设交易是有效的，并且不在Layer 1上提供状态变化的证明。相反，它允许任何人在特定的挑战期内对提交的交易数据提出质疑，并提供证据。如果提出的质疑成立（即发现提交到Layer1的数据中包含无效信息），那么负责将这些交易纳入区块的排序器将面临相应的惩罚。这种机制在假设大多数交易都是有效的同时，也为交易安全提供了一层额外的保障。

Sequencer（排序器）如何处理L2交易？

Rollups 中的排序器是其中的关键部分，它负责执行和批量处理Layer 2交易并将其提交到Layer 1上。例如，在 Optimistic Rollups中，排序器通常包含一个接收Layer 2交易的节点、一个执行虚拟机（Geth）、将交易批量提交到Layer 1上的批次提议器（batch proposers）以及其他一些辅助组件。简而言之，排序器就是将交易打包到Layer 2上的组件。

排序器可以以中心化或去中心化的方式运行。在中心化方式中，一个排序器（或多个排序器）由一些中心化的实体控制。相反，去中心化的排序器将使用无需许可的方式在池中选出。两种方式各有利弊。具体来说，中心化排序器更高效且易于实现，但存在单点故障的可能性。去中心化排序器更强大，但设计和实现工作量更复杂。

根据 L2BEAT，中心化排序器是Layer 2最常见的方式，包括Arbitrum、Optimism、zkSync Era等。

为何Layer2必须重视安全？

由于Layer2解决了可扩展性问题，优化了用户体验，降低了用户成本，因此吸引了大量的关注。但是从用户的角度来看，安全性仍然是一个问题，毕竟，任何协议的安全漏洞都可能导致黑客攻击，造成用户的巨大损失。例如，以Optimism上的SonneFinance遭黑客攻击事件为例，由于精度损失问题，攻击导致了超过2000万美元的资金损失。在Velocore的安全事件中，Liner不得不暂停其排序器以防止攻击者倾销代币，这进一步凸显了Layer2安全性的重要性。

强化的安全措施不仅能够吸引更多用户，还能增加TVL，进而推动生态系统的繁荣发展。这种增强的安全性会形成一个正反馈循环：更高的安全性会促进更广泛的采用，反过来又会刺激进一步的增长和生态系统的繁荣。因此，安全性对于Layer2的发展来说至关重要。

现有安全解决方案有哪些不足？

目前，Layer2的安全性主要依赖于两方面的措施：协议本身的安全审计和攻击监控。然而，这些措施存在一些明显的短板。

代码审计

首先，安全审计虽然能够发现代码中的潜在问题，但它无法保证发现所有安全漏洞，这些零日漏洞就可能在项目上线后被黑客利用并攻击。历史经验表明，即使是经过知名审计机构审计的协议，也可能遭受攻击，更不用说有些协议可能无法承担这样的审计成本。

其次，代码审计只能提供对代码静态视图的分析，它无法捕捉到智能合约运行时状态的变化，这些变化可能是由配置错误或参数升级引起的。

攻击监控

一些协议采用监控工具来检测潜在的攻击行为，这些工具可能来自第三方提供商，也可能是内部开发的。但这些监控系统的有效性和准确性（难点主要在于低误报率）高度依赖于安全专家的专业知识。更为关键的是，这些系统往往缺乏自动化响应机制，当检测到安全事件时，通常需要手动响应，而手动响应往往来不及阻止损失的发生。例如，去年8月Nomad Bridge遭受攻击时，项目团队花了三个多小时才做出反应。最近KyberSwap遭受攻击时，也经历了近两个小时的响应时间。

此外，实施这些监控系统还需要协议方投入时间和资源进行集成工作。如果我们能够在链级别实现内置的安全措施，这将为协议和用户提供一个更为卓越的解决方案。它能够确保持续的安全性，无需昂贵的集成成本，从而为用户和协议方提供一个更强大、更无缝的安全框架。

S.T.O.P是如何创新提供内置安全性的？

BlockSec一直是这个方向的先行者。早在2022年，我们就率先提出了“使区块链攻击可拦截”的理念，通过攻击检测+交易抢跑成功防御了20余次黑客攻击，累计保护了逾2000万美元资产。随着Layer2的发展，我们在这个方向又迈进了一步，S.T.O.P正是基于BlockSec Phalcon的攻击检测技术，为Layer2网络赋予了强大的安全性能。这一排序器层面的内置安全解决方案，为二层网络的无缝安全运行提供了全方位的保障。

S.T.O.P的核心理念是将攻击检测引擎集成到Layer2的排序器中。这样，每笔Layer2交易在被打包之前都会通过攻击检测引擎进行筛查。如果检测到恶意交易，系统将对其进行隔离并进行深入检查。这种做法从源头上阻止了攻击交易进入Layer2，而无需给协议开发者和用户增加额外的负担。

虽然这个概念听起来简单直接，但实际上部署这样一个系统面临着巨大的设计挑战：

1. 如何实现非侵入式集成？如果需要深入修改排序器的内部工作机制，可能会引发兼容性、稳定性和维护性的问题。

2. 如何确保系统的高效率？考虑到Layer2可能需要在几秒钟内处理成千上万的交易，如何将检测系统集成到排序器中，同时不影响Layer2的处理能力，是一个需要克服的技术难题。

3. 如何维持低误报率，确保交易不受影响？如果交易被错误地标记并隔离，这将严重影响Layer2的可用性，甚至可能导致用户错失交易机会。

我们的解决方案成功地应对了这些挑战。我们采用了非侵入式架构，并整合了由Phalcon提供的攻击检测引擎。具体来说，我们在Layer2中排序器之前引入了一个威胁检测节点。该节点负责与Phalcon通信，扫描每笔交易并返回检测结果。被Phalcon识别为恶意的交易将被自动隔离，而安全的交易则进入排序器的内存池。下面的图表展示了我们的整体系统架构。

STOP的架构

我们的攻击检测引擎不仅高效，而且精确度极高。它能够在几毫秒内完成对交易的快速筛查，误报率控制在低于0.0001%的水平。通过结合特定的自定义规则，这一比率甚至还能够进一步降低。值得注意的是，我们的引擎已经在实战中证明了自己的能力，成功检测并阻止了多起黑客攻击。您可以参考我们公开披露的安全事件列表以及攻击阻止的成功案例，以了解更多详情。

此外，STOP系统还配备了一个直观的仪表板，使链运营商能够便捷地审查那些被隔离的交易。利用我们的Phalcon Explorer工具，分析师可以深入挖掘并识别出黑客交易的漏洞成因，从而采取相应的预防或应对措施。

应用案例：Manta——首个实现内置安全的Layer2

BlockSec很高兴与Manta合作，实现将Manta Pacific打造成第一个具备内置安全性的Layer2网络。具体来说，Manta Pacific上的每笔交易都将通过BlockSec Phalcon的攻击检测引擎进行扫描，从而从源头上防止恶意交易进入Layer2链。

此次合作为Manta Pacific带来了强大的安全性增强，同时确保其可用性和效率不受影响。协议和用户无需投入额外的时间和精力即可获得保护。更令人鼓舞的是，越来越多的链和协议项目将安全性放在首位，使用户能够自信且安全地进行交互。

写在最后

BlockSec期望助力区块链行业从源头上解决安全问题，保护用户资产。未来，我们将持续探索更多前沿的安全解决方案，确保我们始终站在安全的前沿，为大家提供最有力的保护。

关于 BlockSec Phalcon

Phalcon 是 BlockSec 推出的业界唯一的自动化攻击监控和阻断 SaaS 平台。它包含攻击检测、自定义监控规则、自动化响应等模块，可以精准识别链上攻击和风险事件，并及时自动化攻击阻断。BlockSec Phalcon旨在为协议方提供协议上线后的综合安全保护，同时帮助交易者、流动性提供者（LP）、DAO 组织、交易所、基金管理者等守护链上资产安全。

快速发现精准识别：Phalcon 攻击检测引擎扫描每一笔内存池和链上的交易，精准识别恶意合约、恶意提案、攻击交易。结合 DeFi 语义和 AI 算法，将误报率降低至接近于 0。

自动响应多签支持：不止检测攻击，更能实时阻断攻击，由 Phalcon 系统根据用户预设自动触发，真正做到 7*24 安全防护。

兼顾运营风险监控：不止监控攻击行为，还可监控 Admin Key、Role Grants、Key Variables等变化，及时发现私钥泄露、特权权限变更等风险。

低代码：监控交易、功能、事件和变量，并预设多种监控模板，无需编程，轻松完成监控系统搭建。

目前，Phalcon 已升级为 SaaS 平台，用户可点击「阅读原文」登录官网后查看定价方案并直接订阅。

Website: https://blocksec.com/phalcon

Twitter: https://twitter.com/Phalcon_xyz

关于BlockSec

BlockSec是全球领先的区块链安全公司，于2021年由多位安全行业的知名专家联合创立。公司致力于为Web3世界提升安全性和易用性，以推进Web3的大规模采用。为此，BlockSec提供智能合约和EVM链的安全审计服务，面向项目方的安全开发、测试及黑客拦截系统Phalcon，资金追踪调查平台MetaSleuth，以及web3 builder的效率插件MetaSuites等。

目前公司已服务超300家客户，包括MetaMask、Compound、Uniswap Foundation、Forta、PancakeSwap等知名项目方，并获得来自绿洲资本、经纬创投、分布式资本等多家投资机构共计逾千万美元的两轮融资。

官网：https://blocksec.com/

Twitter：https://twitter.com/BlockSecTeam