Z raportu badawczego firmy Resonance Security zajmującej się cyberbezpieczeństwem wynika, że Blast, nowe rozwiązanie Ethereum Layer 2, budzi pewne obawy dotyczące bezpieczeństwa. Blast szybko zyskał popularność w branży kryptowalut. Obiecuje punkty, zrzuty, jackpoty, rodzime zyski ze stakowania i dzielenie się przychodami z gazu. Ale Resonance twierdzi, że Blast powinien ulepszyć swoje środki bezpieczeństwa.
Od ogłoszenia do uruchomienia Blast akceptował depozyty ETH za pośrednictwem mostu jednokierunkowego. Umożliwiło to użytkownikom gromadzenie natywnych zysków i punktów wybuchowych, obiecując wczesnym użytkownikom możliwość wzięcia udziału w przyszłym zrzucie.
Źródło: L2Beat
Pomimo krytyki ze strony głównych sponsorów finansowych, takich jak Paradigm, strategia ta zwiększyła popularność Blast. W pierwszym tygodniu przyciągnął 600 milionów dolarów, osiągając ponad 1 miliard dolarów w styczniu 2024 roku. Obecnie całkowita zablokowana wartość (TVL) Blast wynosi 3,16 miliarda dolarów, co czyni go czwartym co do wielkości EVM L2.
Użytkownicy mogą wpłacać ETH na Blast w zamian za płynne tokeny L2. Zdeponowany ETH jest stawiany w pulach stawek Lido za pośrednictwem inteligentnych kontraktów Blast, uzyskując stopę procentową w wysokości 4%.
W przypadku monet stabilnych użytkownicy łączą je z Blast for USDB, oficjalną monetą typu stablecoin Blast, która generuje zysk poprzez protokół weksli T-Bill MakerDAO z oprocentowaniem 5%. USDB można wymienić na DAI po ponownym połączeniu z Ethereum.
Blast Gold jest przyznawany dAppom zbudowanym w sieci, nagradzając je za korzystanie z natywnych funkcji Blast i jest dystrybuowany ręcznie co 2-3 tygodnie lub podczas wydarzeń z jackpotem.
Wybuch dziedziczy obawy dotyczące bezpieczeństwa
Według Resonance poleganie Blast na protokołach DeFi innych firm, takich jak Lido i MakerDAO, stwarza potencjalne ryzyko. Jeśli jakiekolwiek generujące zyski pule lub protokoły na tych platformach zostaną naruszone, będzie to miało wpływ również na powiązane tokeny użytkowników Blast. Ta zależność od zabezpieczeń Lido i MakerDAO w zakresie ochrony funduszy użytkowników może prowadzić do problemów finansowych dla użytkowników Blast.
Jak działa inteligentny kontrakt Blast. Źródło: L2Beat
Wcześniej HTX Square zwrócił uwagę, że kontrakt LaunchBridge firmy Blast (0x5f…a47d) nie jest mostem typu rollup, ale „umową powierniczą chronioną adresem multisig 3/5”. Jarrod Watts z Polygon Labs również wyraził obawy dotyczące adresów multisig, twierdząc, że są one nowo utworzone, a ich właściciele są nieznani.
Źródło: Jarrod Watts
CryptoHopper zakwestionował twierdzenie Blasta o byciu L2, stwierdzając: „Blastowi brakuje niezbędnych dowodów ważności dla korzenia stanu L2 i nie ma wdrożonego mechanizmu zapobiegającego oszustwom”. Resonance uważa, że podsumowanie ryzyka Blast dodatkowo potwierdza te obawy.
Źródło: L2Beat
Resonance przyjrzało się także protokołom bezpieczeństwa Lido i MakerDAO. MakerDAO nie publikował audytu bezpieczeństwa swoich inteligentnych kontraktów od trzech lat, a niektóre audyty sięgają pięciu lat.
Jest to niepokojące, ponieważ inteligentne kontrakty mogą być podatne na nowo odkryte luki i należy je okresowo poddawać audytowi. Resonance stwierdza, że szybkie zapytanie o inteligentne kontrakty CVE w krajowej bazie danych podatności NIST zwróciło 584 rekordy opublikowane w latach 2018–2024. Chociaż określone kontrakty mogą nie być podatne na wszystkie te CVE, prawdopodobnie są podatne na niektóre.
Utrzymanie bezpieczeństwa inteligentnych kontraktów wymaga wieloaspektowego podejścia, w tym przedwdrożeniowych i okresowych audytów bezpieczeństwa oraz programów nagród za błędy.
„Regularna komunikacja i wspólne testy bezpieczeństwa mogą również pomóc w zweryfikowaniu tych standardów i ich ulepszeniu z czasem”.
Bezpieczeństwo rezonansu
Mniejsze projekty muszą być skrupulatne przy wyborze zewnętrznych dostawców. Aktywne sprawdzanie opcji innych firm pod kątem rygorystycznych standardów bezpieczeństwa może w dłuższej perspektywie zaoszczędzić projektom wielu problemów. Jeśli opcje stron trzecich nie spełniają wymaganych standardów projektu, opracowanie własnych rozwiązań może być bezpieczniejszą alternatywą. O ile projekt ma na to zasoby.
Pozwala to na pełną kontrolę nad bezpieczeństwem. Tworzenie partnerstw lub sojuszy z innymi projektami może pomóc we wspólnym propagowaniu lepszych praktyk bezpieczeństwa z większymi dostawcami zewnętrznymi. Zjednoczony front będzie miał większy wpływ niż indywidualne wysiłki, stwierdził Resonance.
Jai Hamida