Согласно исследовательскому отчету компании Resonance Security, занимающейся кибербезопасностью, Blast, новое решение Ethereum Layer 2, имеет некоторые проблемы с безопасностью. Blast быстро завоевал популярность в криптоиндустрии. Он обещает баллы, раздачи, джекпоты, доходность от собственных ставок и распределение доходов от газа. Но Resonance утверждает, что Blast следует улучшить меры безопасности.
С момента объявления до запуска Blast принимал депозиты в ETH через односторонний мост. Это позволило пользователям накапливать собственный доход и баллы Blast, обещая ранним пользователям доступ к будущей раздаче.
Источник: L2Beat
Несмотря на критику со стороны крупных финансовых спонсоров, таких как Paradigm, эта стратегия повысила популярность Blast. За первую неделю он привлек 600 миллионов долларов, а к январю 2024 года превысил 1 миллиард долларов. На данный момент общая заблокированная стоимость Blast (TVL) составляет 3,16 миллиарда долларов, что делает его четвертым по величине EVM L2.
Пользователи могут внести ETH на Blast в обмен на ликвидные токены L2. Депонированные ETH размещаются в пулах ставок Lido через смарт-контракты Blast, получая процентную ставку 4%.
Что касается стейблкоинов, пользователи подключают их к Blast для USDB, официальному стейблкоину Blast, который генерирует доход через протокол казначейских векселей MakerDAO с процентной ставкой 5%. USDB можно обменять на DAI при обратном подключении к Ethereum.
Blast Gold присуждается dApps, созданным в цепочке, в качестве вознаграждения за использование встроенных функций Blast, и распределяется вручную каждые 2–3 недели или во время событий с джекпотом.
Blast унаследовал проблемы безопасности
По данным Resonance, использование Blast сторонних протоколов DeFi, таких как Lido и MakerDAO, представляет потенциальные риски. Если какие-либо пулы или протоколы, генерирующие доход, на этих платформах будут скомпрометированы, это также повлияет на связанные токены пользователей Blast. Эта зависимость от безопасности Lido и MakerDAO для защиты средств пользователей может привести к финансовым проблемам для пользователей Blast.
Как работает смарт-контракт Blast. Источник: L2Beat
Ранее HTX Square указывала, что контракт Blast LaunchBridge (0x5f…a47d) — это не накопительный мост, а «кастодиальный контракт, защищенный мультиподписным адресом 3/5». Джаррод Уоттс из Polygon Labs также выразил обеспокоенность по поводу этих адресов с мультиподписью, заявив, что они созданы недавно и их владельцы неизвестны.
Источник: Джаррод Уоттс
CryptoHopper поставил под сомнение заявление Blast о том, что он является L2, заявив: «Blast не имеет необходимых доказательств действительности для корня состояния L2 и не имеет механизма защиты от мошенничества». Resonance считает, что сводка рисков Blast еще раз подтверждает эти опасения.
Источник: L2Beat
Resonance также изучил протоколы безопасности Lido и MakerDAO. MakerDAO не публиковал результаты аудита безопасности своих смарт-контрактов в течение трех лет, причем некоторые аудиты проводились пять лет назад.
Это вызывает беспокойство, поскольку смарт-контракты могут быть подвержены недавно обнаруженным уязвимостям и должны периодически проверяться. Resonance утверждает, что быстрый запрос CVE смарт-контрактов в Национальной базе данных уязвимостей NIST дал 584 записи, опубликованные в период с 2018 по 2024 год. Хотя конкретные контракты могут быть не восприимчивы ко всем этим CVE, они, вероятно, восприимчивы к некоторым.
Поддержание безопасности смарт-контрактов требует многогранного подхода, включая предварительные и периодические проверки безопасности перед развертыванием, а также программы вознаграждения за ошибки.
«Регулярное общение и совместное тестирование безопасности также могут помочь проверить эти стандарты и со временем улучшить их».
Резонансная безопасность
Небольшие проекты должны тщательно выбирать сторонних поставщиков. Заблаговременная проверка сторонних вариантов на предмет соблюдения строгих стандартов безопасности может в долгосрочной перспективе избавить проекты от многих головных болей. Если сторонние варианты не соответствуют требуемым стандартам проекта, разработка собственных решений может быть более безопасной альтернативой. Пока у проекта есть для этого ресурсы.
Это позволяет полностью контролировать безопасность. Формирование партнерских отношений или альянсов с другими проектами может помочь коллективно отстаивать лучшие методы обеспечения безопасности с более крупными сторонними поставщиками. Единый фронт будет иметь больше влияния, чем отдельные усилия, сказал Резонанс.
Джай Хамид