8月23日,日本电子巨头Sony旗下的Sony Block Solutions Labs发布公告,宣布将推出一个名为Soneium的以太坊Layer2网络。该网络使用OP Stack构建,将逐步整合Sony旗下的音乐和影视等产品,并扩展到其它更广泛的行业和应用中。
作为一家专注于区块链安全+合规的公司,Beosin此前已解析了Base、Blast等使用Optimism Rollup的以太坊Layer2,并对ETH Layer2扩容和审计方案做了详细介绍。今天我们将从安全角度分析与探讨Soneium的架构和潜在的安全挑战。
Soneium 架构解析
Soneium是基于 OP Stack 构建的 Layer2 网络,由Sony Block Solutions Labs与Startale Labs联合开发。其中Startale Labs的CEO渡边创太是Astar Network的联合创始人,未来Astar zkEVM网络将过渡到Soneium的二层,而Soneium将加入Optimism的Superchain网络,为Optimism Collective这一组织作出贡献。
目前Soneium已进入测试网阶段,测试网络名为Minato。其架构如下:
1. 数据可用层(Data Availability Layer)
Soneium的数据可用层采用与Optimism类似的设计,依赖于以太坊网络来提供数据可用性。它将支持调用以太坊网络的calldata和事件。这意味着Soneium能够利用以太坊的安全性和去中心化特性,确保数据的完整性和可用性。
2. 索引层(Sequencing Layer)
Soneium并未对索引层的排序器(sequencer)进行说明,但根据现有信息,Soneium很可能采用单排序器架构。这意味着网络上的交易排序和处理将由Sony Block Solutions Labs和Startale团队控制的单一排序器完成。这种设计可能有助于简化操作和提高效率,但也可能集中风险。单排序器架构还将成为其团队在Soneium网络上的主要收入来源。
3. 推导层(Derivation Layer)
Soneium的推导层与Optimism相同,这一层定义了如何处理和解析来自数据可用层的原始数据。推导层负责将这些数据转化为可在执行层中处理的格式,以确保数据在链上执行时的正确性和一致性。
4. 执行层(Execution Layer)
Soneium的执行层由op-geth负责执行交易。op-geth是一个经过Optimism团队修改的以太坊虚拟机(EVM)执行模块。它不仅支持传统的以太坊交易,还对在以太坊网络上发起的L2交易提供支持,并计算这些交易所需的gas。这种设计使Soneium能够在保持兼容性的同时优化其交易处理能力。
5. 结算层(Settlement Layer)
Soneium的开发团队还未在其文档中明确Soneium将使用的欺诈证明。Optimism目前使用Cannon交互欺诈证明机制,通过多轮链下交互来解决争议。基于OP Stack构建的多个Layer2网络尚未广泛实现或采用现有的欺诈证明机制。
6. 治理层(Governance Layer)
在Minato测试网阶段,Soneium采用了单一地址来进行合约升级,这种做法在治理和安全性方面存在一定的不足。在当前的设置下,合约升级的权限集中在一个单独的地址上,这可能导致集中化的风险,并且不利于网络的长期安全性和去中心化。
对比同样使用 OP Stack 构建的Layer2网络:Base,使用的是一个2/2的Gnosis Safe多签合约,而该多签合约的2个所有者又分别是两个多签合约:一个5/7的多签合约(base:0x28EDB11394eb271212ED66c08f2b7893C04C5D65)和一个3/6的多签合约(base:0xd94E416cf2c7167608B2515B7e4102B41efff94f),以提高网络安全性。
Soneium安全风险
Soneium作为基于Optimism Rollup构建的以太坊Layer2网络,完全兼容以太坊虚拟机(EVM)。这意味着Soneium能够无缝地支持EVM上的智能合约和应用程序,使其与以太坊主网的交互更加高效和便捷。但同时也对安全性提出了更高的要求:
(1) 网络架构安全
Soneium采用Optimism Rollup技术,这种设计通过将数据和交易压缩在Layer2网络中,并仅将必要的数据提交到以太坊主链,减少了数据处理量,提升了网络效率。但Soneium的数据可用层基于以太坊网络,利用以太坊的安全性来保障数据的完整性和可用性。这意味着Soneium的交易和状态更新可以依赖于以太坊主网的安全验证。
(2) 智能合约安全
Soneium支持使用Solidity编写的智能合约,这些合约可以利用成熟的安全实践和工具进行开发和审计。尽管Soneium自身可能没有详细披露其审计流程,但高标准的智能合约审计通常是确保合约安全的关键步骤。项目团队应确保所有部署的智能合约经过独立的安全审计,以识别并修复潜在的漏洞。
(3) 治理机制
在Minato测试网阶段,Soneium使用单一地址来进行合约升级,这种集中式的治理模式可能存在一定的风险,如治理权力集中和潜在的单点故障。所以,为提高治理安全性,Soneium可能需要考虑引入更复杂的治理机制,例如多签合约或去中心化自治组织(DAO)。这种机制可以通过分散决策权力和增加治理透明度来减少风险。
(4) 交易验证安全
Soneium尚未明确使用的欺诈证明机制可能会影响其对交易争议的处理能力。Optimism目前采用了Cannon交互欺诈证明,通过链下交互解决争议。虽然Soneium可能在初期缺乏类似机制,但将来引入欺诈证明或类似机制可以增强网络的安全性和公正性。
除了关注Soneium的网络安全外,Beosin此前已对基于Soneium构建的SocialFi明星项目Yay!进行了详尽的安全审计。审计内容涵盖了智能合约代码的安全性、 业务实现逻辑的正确性、合约代码gas优化、潜在漏洞的发现和漏洞修复等多个方面。
在多轮严格的审计和复查之后,Beosin确认其代码实现安全可靠,业务逻辑实现与设计文档相匹配。同时,Yay!团队积极响应审计过程中提出的潜在风险,迅速进行跟进与优化,确保其合约代码达到行业的最高安全标准。
在区块链技术不断发展的今天,安全问题已成为制约其发展的重要因素。Beosin希望通过专业的安全审计,不仅帮助项目方发现和修复潜在的安全问题,还为Soneium生态系统的健康发展提供了有力支持。未来,随着Soneium生态的不断壮大,Beosin将继续发挥其专业优势,为其提供更加全面的安全保障。
Beosin作为全球最早一批从事形式化验证的区块链安全公司,主打”安全+合规“全生态业务,在全球10多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控与阻断、被盗追回、虚拟资产反洗钱(AML)以及符合各地监管要求的合规评估等“一站式”区块链合规产品+安全服务。欢迎点击公众号留言框,与我们联系。