Coinbase Pro安全吗：停机时间仅一分钟，即可将我们的Tezos面包店迁移到整个大西洋

卢克·杨布鲁德（Luke Youngblood）

介绍

自2018年推出以来，Coinbase Custody一直代表我们的客户推动创新，这些客户日益希望参与其投资的网络。这些新的网络参与形式不仅限于提供最安全和可信赖的数字资产托管， ，并包括在治理和抵押中的投票等活动。自2019年初以来，我们一直在Tezos网络上积极放样或参与在数字分类帐中创建新块。有时将其称为“烘焙”。

@LabosNomades Tezos是可用于@CoinbaseCustody抵押服务的第一个资产。 ＃Tezos2019（3/12）

— @tezos

支持新金融产品

在2019年秋季，Amun在第六瑞士交易所推出了第一个Tezos交易所交易产品（ETP）。 Amun Tezos ETP面临着Tezos / XTZ代币的价格表现，但由于Amun代表投资者进行的放样（烘烤）而产生了收益。 Coinbase Custody不仅为Amun提供基础的Tezos / XTZ代币的托管，而且还代为押注这些代币。但是，Amun需要在欧洲开展这项赌注活动，以便可以遵守法规，但Coinbase Custody Tezos Bakery目前在美国运营。这是关于我们如何在短短1分钟的停机时间内将Tezos面包店从美国迁移到爱尔兰的故事。

保护Tezos网络

与工作量证明不同，在权益证明中，安全性和操作技能取代了原始计算能力和电力，是确保数字总账中交易安全的中心机制。验证器与矿工的工作证明相同，通过对数字分类账中的交易是否有效进行投票，从而提供安全且高度可用的加密证明。

投票和签名生成

为了投票或产生其他验证者将要投票的区块，验证者必须使用其私钥在投票或区块上签名。如果我们仅将私钥存储在验证器节点上，那么任何能够以某种方式破坏我们的验证器节点的攻击者不仅会破坏我们在Tezos网络上需要投入的安全押金，他们还可能能够通过对审查交易的数字分类账的替代版本进行投票，从而攻击网络本身。在工作量证明中，这称为51％攻击，在股权证明中，结果将相似。审查交易的能力可能会损害这些去中心化网络的核心原则：审查阻力和不变性。

大幅削减

为了提高这些网络的安全性并防止验证者进行不良行为和审查交易 ，验证者必须提供保证金，有时也称为保证金，并且如果网络上的任何参与者发现他们在同一区块高度都进行了两次投票，他们没收这些保证金和奖励。这被称为“削减”，是保护权益证明网络的重要机制。 Coinbase托管债券用作保证金，可减轻客户资金潜在损失的风险。

远程签名

在2018年6月发布Tezos betanet之前，社区的早期开发人员（例如Blockscale，Nomadic Labs和Obsidian Systems）开发了一种新颖的解决方案来帮助保护权益证明网络：远程签名者。私钥可以存储在远程系统中，而不是将私钥存储在验证者节点本身上，在这些节点上攻击者可能会破坏私钥，该系统可能包含硬件安全模块（HSM），以防止私钥材料的泄露。此外，随着每次投票的签署，单调递增的计数器可以增加，这首次启用了一项重要的安全功能：双重签名保护。如果已经在该高度签署了投票，则将拒绝在相同高度签署另一次投票的任何尝试，从而保护了验证者免遭大幅削减的风险。

Coinbase托管验证器安全性

Coinbase Custody会根据验证器安全性的最佳实践来部署我们的验证器。我们利用使用互斥锁或互斥锁的远程签名解决方案。 互斥锁是计算机科学中的一个概念，广泛用于电子交易系统和无法选择停机的市场，但是两次执行交易也是不可接受的。例如，多个计算机系统可以尝试执行交易，但是只有一个系统将能够获取互斥量并执行交易。这样可以确保一次交易仅执行一次，并且只能执行一次。当我们的验证者之一想要签署投票时，它必须首先获取互斥体，这时它将更新单调递增的计数器，该计数器代表签署投票的块高度，最后生成投票所需的加密签名。 。如果验证者尝试对已经投票的块高度进行投票，则单调递增的计数器将阻止这种情况；如果验证者尝试更新计数器，但是另一个验证者已经获取了互斥量，则此更新将失败，将防止签名生成。

测试与安全

在设计和实施高度安全的分布式系统（例如远程签名解决方案）时，测试和安全性至关重要。例如，在开发过程的早期，我们发现了一个边缘情况，在特殊情况下可能导致双重签名。为了将这些风险降到最低，我们不仅为远程签名者的每个部分编写了全面的单元测试，而且还在Tezos测试网上连续运行了多个验证器，并且所有这些校验器都试图在任何时候对消息进行签名。这使我们能够不断保证我们的双重签名保护始终在起作用。我们首先向testnet验证程序发布新的软件更新，并让它们运行一段时间，然后再向mainnet发布更新。通过连续测试此关键安全功能，我们可以最大程度地降低导致漏洞的软件缺陷的风险。

挑战：移民到爱尔兰

既然您已经掌握了远程签名解决方案如何防止双重签名和斜线攻击的背景，那么将我们的验证器从美国迁移到爱尔兰就为我们提出了一个独特的挑战：我们利用的互斥锁需要强大的一致性，并且通过在彼此之间地理位置接近（小于100英里）的多个数据中心。在爱尔兰，我们将需要一个单独的互斥锁，因为光线无法足够快地穿越大西洋，无法在如此长的距离内提供相同的强一致性。具有单独的互斥锁意味着两者不再互斥，并且迁移期间的双重签名风险大大增加。

我们面临的另一个挑战是，Tezos验证程序需要本地访问完整Tezos节点的区块链存储以创建块。在撰写本文时，这需要与验证器紧密耦合的300GB以上的存储空间。在Coinbase Custody ，我们利用称为Codeflow的自动部署工具对来自辅助存储的数据进行重新水化处理，并启动节点和验证程序。此过程是完全自动化的，可以提高安全性并减少人为错误的可能性，但是由于数据量很大，可能需要一个小时才能完成。

迁移选项

考虑到我们的限制，我们考虑了几个迁移选项：

1. 完全停止在美国的验证器，然后开始部署爱尔兰验证器。这将导致爱尔兰验证器在验证器过程开始之前重新充实二级存储中的数据，从而导致大约一个小时的停机时间，但这将确保我们不会冒双签的风险。
2. 在爱尔兰启动验证器，并在爱尔兰验证器完成补水数据的时间附近尝试停止美国验证器。这被认为太冒险了，因为如果两个验证者的工作时间重叠，我们可能会双重签名，并使自己面临巨大的风险。

对我们来说，这两个选项似乎都不理想。此外，我们在爱尔兰的基础设施是全新的，尚未经过端到端生产的完整测试，因此迁移失败的风险很大。我们可能不得不回滚到美国的基础设施，这将需要额外的一小时的停机时间。我们开始考虑第三个更具创造性的选择：将背书人解耦。

解耦代言人

Tezos验证器有两个主要组成部分：贝克，它产生包含数字分类账中交易的新块；以及背书者，它对其他验证器产生的块进行投票。面包师不同于代言人，它与本地Tezos节点紧密耦合，并且需要访问本地存储来创建新块。它是一个轻量级的无状态客户端，仅需要通过RPC与Tezos节点进行通信，并需要远程签名者来生成签名。我们获得的基本见解是，通过将背书人与运行验证程序所需的完整Tezos节点分离，我们可以执行几乎无停机的迁移。大型Tezos验证器通常每隔几分钟或几小时才产生或烘烤一次新的块，但几乎每分钟都需要投票或认可。我们可以找到一个窗口，在该窗口中，我们几个小时不必生产块，并在此期间迁移面包师，然后可以分别迁移背书人。

完成迁移

首先，我们将背书人解耦。我们创建了一个仅包含Tezos认可者客户端的新微服务，并将其配置为与用于将事务广播到Tezos网络其余部分的同一个Tezos边缘节点对话。这些节点不运行任何验证程序，并且在美国和爱尔兰都有5个验证程序，以实现更好的连接性和可用性。认可者还需要像面包师一样从远程签署者那里获得签名。如果您早些时候记得我们的互斥锁的局限性，那么由于距离太远，我们在大西洋上就无法保持强大的一致性，因此我们知道在开始使用之前，我们必须完全关闭美国的背书人。爱尔兰。为了完全确保我们不会重复签字或投票，我们决定停止在美国的背书人，等待一次投票失败，然后才在爱尔兰开始背书人。您可以在此处查看这1分钟/每个模块的停机时间：

一旦成功迁移了背书人，我们仍在美国生产新的商品，同时进行爱尔兰的投票或背书。然后，我们能够找到2小时的时间窗口，此时无需生产任何块料即可将面包师流程迁移到爱尔兰。

结论

操作最大的Tezos验证器并存有大量的存款或债券，这并不是Coinbase Custody可以轻易做到的。我们已在最大可能的安全性上进行了大量投资，以最大程度地降低丢失风险。我希望这篇文章能为您提供丰富的信息，并有助于您对使用大型验证器的挑战进行教育。在Coinbase Custody，我们不仅优先考虑客户资金的安全和保护，而且我们还努力保护和保护我们代表客户参与的网络。围绕我们的股权验证器投资最佳的安全性是使我们成为最受信任的数字资产保管人的一部分。

停机时间仅为1分钟的情况下，迁移我们横跨大西洋的Tezos面包店最初发布在Medium上的The Coinbase Blog上，人们通过突出并响应这个故事来继续进行对话。