În iunie 2019, înainte ca vreun cumpărător instituțional să întrebe, am publicat arhitectura noastră de validator: chei custodiate în YubiHSM, două datacenter-e Tier III, acces VPN-only. Șapte ani mai târziu, acea postură este încă podeaua, nu plafonul.
Două servere KMS fizice, câte unul în fiecare datacenter, ambele echipate cu module YubiHSM 2. Unul primar, unul backup hot. Cheile de validare nu există niciodată în afara perimetrului HSM. Documentat public din iunie 2019 pe Medium.
Primul cluster Obol DVT deployment pe 3 septembrie 2023 — 1.001 validatori, threshold 3-din-4, online în mai puțin de 48 de ore. În prezent semnați ca Node Operator în 5 clustere Lido Simple DVT (4 cu Obol, 1 cu SSV). Acceptarea regulilor de operare este verificabilă on-chain.
Semnătură threshold via Horcrux 2-din-3 pentru toate rețelele Cosmos pe care le validăm. Elimină riscul de double-sign din compromiterea unui singur server.
Web3Signer stă între clientul de validator Ethereum și cheile custodiate în YubiHSM. Dispune de bază de date pentru protecția împotriva slashing-ului — verifică fiecare cerere de semnătură împotriva istoricului înainte de a o produce.
Cheile de validare trăiesc pe un segment de rețea inaccesibil din infrastructura publică. Validatorii comunică doar cu sentries și relay-eri; nu există ingress direct la un signer.
Chei generate în-HSM, niciodată exportate. Acces dual-controlat; rotirile sunt logate, revizuite și contra-semnate.
Operăm AS41536 cu politică BGP sub control propriu, nu închiriată de la un cloud provider. Trei prefixe IPv4 anunțate — 195.14.16.0/24, 193.222.57.0/24, 91.198.59.0/24 — verificabile pe RIPE NCC și bgp.tools. Peering direct la 20+ Gbps cu transportatori tier-1.
Deployment activ-pasiv pe două facilități fizic separate. Failover manual rehearsed — fără single point of failure partajat cu vecini.
Mitigare layer 3/4 pentru atacuri volumetrice la marginea datacenter-ului. Capacitate de scrubbing înainte ca traficul să intre în prefixele noastre.
Accesul la orice nod — signer, validator, sentinel, monitorizare — se face doar dintr-un set restrâns de locații cunoscute, prin VPN. Nu am permis niciodată SSH direct din internet la infrastructura de semnare.
Validatorii stau în spatele mai multor sentries per rețea. Traficul RPC public nu ajunge niciodată direct la un nod de semnare. Documentat în articolul setup din 2019.
Prometheus pe interval de 15 secunde este prea lent pentru workload-urile validatorilor. Operăm un stack eBPF custom care alertează pe forma unui singur ciclu de oracle report sau a unei ferestre de producție de bloc.
Passkey-uri FIDO2 / WebAuthn susținute de hardware pentru toate sistemele administrative. 2FA bazat pe SMS este interzis explicit în pipeline-ul de operare.
Fiecare validator are un inginer responsabil numit. Răspunsul la incidente e tratat de oameni cu context pe chain, nu de o coadă de tickete.
Fiecare upgrade de chain e aplicat pe infrastructura testnet internă înainte de producție. Nu facem upgrade în prima zi decât după ce am verificat personal binarul.
Lock files pentru posesia cheii și constrângeri la nivel HSM fac un double-sign din infrastructura noastră operațional implauzibil. Un incident divulgat atribuit unui bug în Horcrux v3.3.1 pe Osmosis (martie 2025), patch-uit în v3.3.2 în <24h de la raport. Toți cei 4.650 de delegatori afectați au fost rambursați integral din rezerva noastră operațională — zero pierdere delegatori.
Certificat ISO/IEC 27001. Audituri anuale de supraveghere și recertificare la termen.
Certificat ISO 9001 pentru calitatea operațională a serviciilor de validator și RPC.
Rating independent de la o terță parte, sub revizuire continuă pe registry-ul StakingRewards.
Pe traiectoria de conformitate 2026-2027. Țintă: angajarea unui auditor Tier 1 pentru evaluare Type I de pregătire, urmată de fereastra de observație Type II. ISO 27001 acoperă majoritatea criteriilor SOC 2 Security comune.
Track-ul de filing sub regulamentul european MiCA, în pregătire pentru aplicarea integrală din 1 iulie 2026.
Cadență anuală cu un Tier 1 vendor. Sumarul executiv disponibil contraparților sub NDA.
Program scoped pe Immunefi pentru infrastructura de validator, oracle node și suprafețele RPC publice.
Incidentele operaționale vizibile on-chain primesc explicit un post-mortem aici. Operatorii care ascund incidente pierd încrederea instituțională în momentul în care DD-ul găsește dovada on-chain; cei care divulgă cu context o câștigă.
Două cereri de semnătură near-simultaneous (la 1,5 ms una de alta) pentru blocul Osmosis 30968345 au declanșat o race condition în Horcrux v3.3.1. Validatorul a fost tombstoned și slashed 5% prin protocol. Strangelove a publicat advisory-ul cu fraza «affecting one validator out of hundreds» și «probability ... 1 in 1 billion per signed vote». Bug-ul putea fi declanșat doar la latențe sub ~2 ms — infrastructura noastră bare-metal operează în acest interval, motiv pentru care am fost singurii care l-am atins.
Patch în Horcrux v3.3.2 lansat <28h după raport. Deploy pe toată infrastructura noastră Cosmos în ore. Toți cei 4.650 delegatori afectați au fost rambursați din rezerva noastră operațională înainte ca rambursarea de la vendor să fie finalizată.
Acceptăm rapoarte de vulnerabilitate pe infrastructura de validator, oracle nodes, RPC publice și site-ul de marketing. Criptează rapoartele sensibile cu cheia noastră PGP sau folosește un canal sigur la alegerea ta.
$ 01.ro --securitate --verifica
KEY_STORE: YUBIHSM2 · DUAL_DC · DIN 2019-06
DVT_ETHEREUM: 5 LIDO SIMPLE_DVT · 4 OBOL + 1 SSV
REȚEA: AS41536 [195.14.16.0/24, 193.222.57.0/24, 91.198.59.0/24]
UPSTREAM: 20GBPS+ PEERING · 140GBPS DDOS
DATACENTER-E: 2 TIER_III TIA-942 · ACTIV-PASIV
ACCES: VPN_ONLY · PASSKEY_FIDO2 · FĂRĂ SMS_2FA
CERTIFICĂRI: ISO_27001 · ISO_9001 · STAKINGREWARDS_AA
SLASHING_INCIDENTS_LIFETIME: 1 (HORCRUX v3.3.1, OSMOSIS, 06-03-2025)
PIERDERE_DELEGATORI: 0 (RAMBURSARE INTEGRALĂ, 4.650 ADRESE)
DISCLOSURE: /.well-known/security.txtDescarcă trust pack-ul public — certificări, arhitectură de infrastructură, semnături clustere Lido DVT, înregistrare guvernanță, echipă numită, surse de verificare pentru fiecare claim. Versiunea ne-redactată (detalii comerciale, MSA, DPA, referințe) se livrează sub NDA.