Theo báo cáo nghiên cứu của công ty an ninh mạng Resonance Security, Blast, giải pháp Ethereum Lớp 2 mới, có một số lo ngại về bảo mật. Blast đã nhanh chóng đạt được sức hút trong ngành công nghiệp tiền điện tử. Nó hứa hẹn các điểm, airdrop, giải độc đắc, lợi nhuận đặt cược gốc và chia sẻ doanh thu gas. Nhưng Resonance cho biết Blast nên cải thiện các biện pháp bảo mật của mình.
Từ khi thông báo cho đến khi ra mắt, Blast đã chấp nhận tiền gửi ETH thông qua cầu nối một chiều. Điều này cho phép người dùng tích lũy lợi nhuận gốc và Điểm nổ, hứa hẹn những người chấp nhận sớm sẽ có cơ hội tham gia vào đợt airdrop trong tương lai.
Nguồn: L2Beat
Bất chấp những lời chỉ trích từ những người ủng hộ tài chính lớn như Paradigm, chiến lược này đã thúc đẩy sự nổi tiếng của Blast. Nó đã thu hút 600 triệu đô la trong tuần đầu tiên, đạt hơn 1 tỷ đô la vào tháng 1 năm 2024. Tính đến thời điểm hiện tại, tổng giá trị bị khóa (TVL) của Blast là 3,16 tỷ đô la, khiến nó trở thành EVM L2 lớn thứ tư.
Người dùng có thể gửi ETH vào Blast để đổi lấy token L2 lỏng. ETH ký gửi sẽ được đặt cược vào nhóm đặt cược Lido thông qua hợp đồng thông minh Blast, nhận lãi suất 4%.
Đối với stablecoin, người dùng kết nối chúng với Blast for USDB, stablecoin chính thức của Blast, tạo ra lợi nhuận thông qua giao thức T-bill của MakerDAO với lãi suất 5%. USDB có thể được đổi lấy DAI khi kết nối trở lại Ethereum.
Blast Gold được trao cho các dApp được xây dựng trên chuỗi, thưởng cho họ khi sử dụng các tính năng gốc của Blast và được phân phối thủ công sau mỗi 2-3 tuần hoặc trong các sự kiện jackpot.
Vụ nổ kế thừa những lo ngại về an ninh
Theo Resonance, việc Blast phụ thuộc vào các giao thức DeFi của bên thứ ba như Lido và MakerDAO tiềm ẩn những rủi ro. Nếu bất kỳ nhóm hoặc giao thức tạo lợi nhuận nào trên các nền tảng này bị xâm phạm thì các mã thông báo liên quan của người dùng Blast cũng sẽ bị ảnh hưởng. Sự phụ thuộc vào tính bảo mật của Lido và MakerDAO để bảo vệ tiền của người dùng có thể dẫn đến các vấn đề tài chính cho người dùng Blast.
Hợp đồng thông minh của Blast hoạt động như thế nào. Nguồn: L2Beat
Trước đây, HTX Square đã chỉ ra rằng hợp đồng LaunchBridge của Blast (0x5f…a47d) không phải là một cầu nối tổng hợp mà là một “hợp đồng giám hộ được bảo vệ bởi địa chỉ multisig 3/5”. Jarrod Watts của Polygon Labs cũng đưa ra quan ngại về những địa chỉ multisig này, nói rằng chúng mới được tạo và chủ sở hữu của chúng vẫn chưa được xác định.
Nguồn: Jarrod Watts
CryptoHopper đặt câu hỏi về tuyên bố của Blast về việc mình là L2, nói rõ: “Blast thiếu bằng chứng hợp lệ cần thiết cho gốc trạng thái L2 và không có cơ chế chống gian lận”. Resonance cho rằng Tóm tắt rủi ro của Blast chứng thực thêm những lo ngại này.
Nguồn: L2Beat
Resonance cũng xem xét các giao thức bảo mật của Lido và MakerDAO. MakerDAO đã không công bố bản kiểm tra bảo mật cho các hợp đồng thông minh của họ trong ba năm, với một số cuộc kiểm toán đã có từ 5 năm trước.
Điều này đáng lo ngại vì hợp đồng thông minh có thể dễ bị ảnh hưởng bởi các lỗ hổng mới được phát hiện và cần được kiểm tra định kỳ. Cộng hưởng cho biết rằng một truy vấn nhanh về các CVE hợp đồng thông minh trong Cơ sở dữ liệu dễ bị tổn thương quốc gia của NIST đã trả về 584 bản ghi được xuất bản từ năm 2018 đến năm 2024. Mặc dù các hợp đồng cụ thể có thể không nhạy cảm với tất cả các CVE này, nhưng chúng có thể dễ bị ảnh hưởng bởi một số CVE.
Việc duy trì bảo mật hợp đồng thông minh đòi hỏi một cách tiếp cận nhiều mặt, bao gồm kiểm tra bảo mật trước khi triển khai và định kỳ cũng như các chương trình thưởng lỗi.
“Việc liên lạc thường xuyên và kiểm tra an ninh chung cũng có thể giúp xác thực các tiêu chuẩn này và cải thiện chúng theo thời gian.”
An ninh cộng hưởng
Các dự án nhỏ hơn cần phải tỉ mỉ khi lựa chọn nhà cung cấp bên thứ ba. Chủ động xem xét các lựa chọn của bên thứ ba để đảm bảo các tiêu chuẩn bảo mật nghiêm ngặt có thể giúp dự án tránh khỏi nhiều vấn đề đau đầu về lâu dài. Nếu các lựa chọn của bên thứ ba không đáp ứng các tiêu chuẩn bắt buộc của dự án thì việc phát triển các giải pháp nội bộ có thể là giải pháp thay thế an toàn hơn. Miễn là dự án có đủ nguồn lực để làm như vậy.
Điều này cho phép kiểm soát hoàn toàn an ninh. Việc hình thành quan hệ đối tác hoặc liên minh với các dự án khác có thể giúp ủng hộ chung cho các biện pháp bảo mật tốt hơn với các nhà cung cấp bên thứ ba lớn hơn. Resonance cho biết một mặt trận thống nhất sẽ có nhiều ảnh hưởng hơn những nỗ lực của cá nhân.
Jai Hamid
