Согласно исследовательскому отчету компании Resonance Security, занимающейся кибербезопасностью, Blast, новое решение Ethereum Layer 2, имеет некоторые проблемы с безопасностью. Blast быстро завоевал популярность в криптоиндустрии. Он обещает баллы, раздачи, джекпоты, доходность от собственных ставок и распределение доходов от газа. Но Resonance утверждает, что Blast следует улучшить меры безопасности.

С момента объявления до запуска Blast принимал депозиты в ETH через односторонний мост. Это позволило пользователям накапливать собственный доход и баллы Blast, обещая ранним пользователям доступ к будущей раздаче. 

Источник: L2Beat

Несмотря на критику со стороны крупных финансовых спонсоров, таких как Paradigm, эта стратегия повысила популярность Blast. За первую неделю он привлек 600 миллионов долларов, а к январю 2024 года превысил 1 миллиард долларов. На данный момент общая заблокированная стоимость Blast (TVL) составляет 3,16 миллиарда долларов, что делает его четвертым по величине EVM L2.

Пользователи могут внести ETH на Blast в обмен на ликвидные токены L2. Депонированные ETH размещаются в пулах ставок Lido через смарт-контракты Blast, получая процентную ставку 4%. 

Что касается стейблкоинов, пользователи подключают их к Blast для USDB, официальному стейблкоину Blast, который генерирует доход через протокол казначейских векселей MakerDAO с процентной ставкой 5%. USDB можно обменять на DAI при обратном подключении к Ethereum.

Blast Gold присуждается dApps, созданным в цепочке, в качестве вознаграждения за использование встроенных функций Blast, и распределяется вручную каждые 2–3 недели или во время событий с джекпотом.

Blast унаследовал проблемы безопасности

По данным Resonance, использование Blast сторонних протоколов DeFi, таких как Lido и MakerDAO, представляет потенциальные риски. Если какие-либо пулы или протоколы, генерирующие доход, на этих платформах будут скомпрометированы, это также повлияет на связанные токены пользователей Blast. Эта зависимость от безопасности Lido и MakerDAO для защиты средств пользователей может привести к финансовым проблемам для пользователей Blast.

Как работает смарт-контракт Blast. Источник: L2Beat

Ранее HTX Square указывала, что контракт Blast LaunchBridge (0x5f…a47d) — это не накопительный мост, а «кастодиальный контракт, защищенный мультиподписным адресом 3/5». Джаррод Уоттс из Polygon Labs также выразил обеспокоенность по поводу этих адресов с мультиподписью, заявив, что они созданы недавно и их владельцы неизвестны. 

Источник: Джаррод Уоттс

CryptoHopper поставил под сомнение заявление Blast о том, что он является L2, заявив: «Blast не имеет необходимых доказательств действительности для корня состояния L2 и не имеет механизма защиты от мошенничества». Resonance считает, что сводка рисков Blast еще раз подтверждает эти опасения.

Источник: L2Beat

Resonance также изучил протоколы безопасности Lido и MakerDAO. MakerDAO не публиковал результаты аудита безопасности своих смарт-контрактов в течение трех лет, причем некоторые аудиты проводились пять лет назад. 

Это вызывает беспокойство, поскольку смарт-контракты могут быть подвержены недавно обнаруженным уязвимостям и должны периодически проверяться. Resonance утверждает, что быстрый запрос CVE смарт-контрактов в Национальной базе данных уязвимостей NIST дал 584 записи, опубликованные в период с 2018 по 2024 год. Хотя конкретные контракты могут быть не восприимчивы ко всем этим CVE, они, вероятно, восприимчивы к некоторым.

Поддержание безопасности смарт-контрактов требует многогранного подхода, включая предварительные и периодические проверки безопасности перед развертыванием, а также программы вознаграждения за ошибки.

«Регулярное общение и совместное тестирование безопасности также могут помочь проверить эти стандарты и со временем улучшить их».

Резонансная безопасность

Небольшие проекты должны тщательно выбирать сторонних поставщиков. Заблаговременная проверка сторонних вариантов на предмет соблюдения строгих стандартов безопасности может в долгосрочной перспективе избавить проекты от многих головных болей. Если сторонние варианты не соответствуют требуемым стандартам проекта, разработка собственных решений может быть более безопасной альтернативой. Пока у проекта есть для этого ресурсы. 

Это позволяет полностью контролировать безопасность. Формирование партнерских отношений или альянсов с другими проектами может помочь коллективно отстаивать лучшие методы обеспечения безопасности с более крупными сторонними поставщиками. Единый фронт будет иметь больше влияния, чем отдельные усилия, сказал Резонанс.

Джай Хамид