根据网络安全公司 Resonance Security 的研究报告,以太坊第 2 层解决方案 Blast 存在一些安全隐患。Blast 在加密行业迅速受到关注。它承诺提供积分、空投、大奖、原生质押收益和 gas 收入共享。但 Resonance 表示,Blast 应该改进其安全措施。
从宣布到推出,Blast 通过单向桥接接受 ETH 存款。这允许用户积累原生收益和 Blast Points,并承诺早期采用者可以参与未来的空投。
来源:L2Beat
尽管受到 Paradigm 等主要金融支持者的批评,但这一策略提升了 Blast 的受欢迎程度。它在第一周就吸引了 6 亿美元,到 2024 年 1 月达到 10 亿美元以上。截至目前,Blast 的总锁定价值 (TVL) 为 31.6 亿美元,成为第四大 EVM L2。
用户可以将 ETH 存入 Blast 以换取流动的 L2 代币。存入的 ETH 通过 Blast 智能合约质押在 Lido 质押池中,赚取 4% 的利率。
对于稳定币,用户将其与 Blast 进行桥接,以获得 Blast 的官方稳定币 USDB,该稳定币通过 MakerDAO 的 T-bill 协议产生收益,利率为 5%。当与以太坊进行桥接时,USDB 可以兑换为 DAI。
Blast Gold 授予在链上构建的 dApp,奖励他们使用 Blast 原生功能,并且每 2-3 周或在累积奖金活动期间手动分发一次。
Blast 继承了安全隐患
Resonance 称,Blast 对 Lido 和 MakerDAO 等第三方 DeFi 协议的依赖带来了潜在风险。如果这些平台上的任何收益生成池或协议受到损害,Blast 用户的相关代币也将受到影响。这种对 Lido 和 MakerDAO 安全性的依赖可能会给 Blast 用户带来财务问题。
Blast 智能合约的工作原理。资料来源:L2Beat
此前,HTX Square 指出,Blast 的 LaunchBridge 合约(0x5f…a47d)并不是 Rollup Bridge,而是“受 3/5 多重签名地址保护的托管合约”。Polygon Labs 的 Jarrod Watts 也对这些多重签名地址表示担忧,称它们是新创建的,所有者未知。
资料来源:Jarrod Watts
CryptoHopper 对 Blast 声称自己是 L2 的说法提出质疑,并指出:“Blast 缺乏 L2 状态根的必要有效性证明,也没有反欺诈机制。”Resonance 认为 Blast 的风险摘要进一步证实了这些担忧。
来源:L2Beat
Resonance 还研究了 Lido 和 MakerDAO 的安全协议。MakerDAO 三年来没有发布过其智能合约的安全审计,有些审计甚至可以追溯到五年前。
这令人担忧,因为智能合约可能容易受到新发现的漏洞的影响,因此应定期进行审核。Resonance 表示,在 NIST 国家漏洞数据库中快速查询智能合约 CVE 返回了 2018 年至 2024 年期间发布的 584 条记录。虽然特定合约可能不会受到所有这些 CVE 的影响,但它们可能会受到某些 CVE 的影响。
维护智能合约安全需要采取多方面的方法,包括部署前和定期的安全审计以及漏洞赏金计划。
“定期沟通和联合安全测试也有助于验证这些标准并随着时间的推移不断改进。”
共振安全
小型项目在选择第三方提供商时需要一丝不苟。主动审查第三方选项是否符合严格的安全标准,从长远来看可以为项目省去很多麻烦。如果第三方选项不符合项目所需的标准,开发内部解决方案可能是一种更安全的选择。只要项目有资源这样做。
这样就可以完全控制安全性。与其他项目建立合作伙伴关系或联盟可以帮助与更大的第三方提供商共同倡导更好的安全实践。Resonance 表示,统一战线的影响力将大于个人努力。
贾伊·哈米德
