根據網路安全公司Resonance Security的研究報告,新的以太坊第 2 層解決方案 Blast 存在一些安全問題。 Blast 迅速在加密貨幣產業佔有一席之地。它承諾積分、空投、累積獎金、原生質押回報和天然氣收入分享。但 Resonance 表示 Blast 應該改進其安全措施。
從宣佈到推出,Blast 一直透過單向橋接受 ETH 存款。這使得用戶能夠累積原生產量和爆炸點,從而為早期採用者提供了參與未來空投的機會。
儘管受到 Paradigm 等主要支持者的批評,但這項策略還是提高了 Blast 的受歡迎程度。它在第一周就吸引了 6 億美元,到 2024 年 1 月就達到了 10 億美元以上。
用戶可以將 ETH 存入 Blast 來換取流動性 L2 代幣。存入的 ETH 透過 Blast 智能合約存入 Lido 質押池,賺取 4% 的利率。
至於穩定幣,用戶將其連接到 Blast for USDB,這是 Blast 的官方穩定幣,透過 MakerDAO 的國庫券協議產生收益,利率為 5%。 USDB回滾到以太幣後可以兌換成DAI。
Blast Gold 獎勵給鏈上建立的 dApp,獎勵他們使用 Blast 的原生功能,並每 2-3 週或在大獎活動期間手動分配一次。
爆炸繼承安全問題
據 Resonance 稱,Blast 對 Lido 和 MakerDAO 等第三方 DeFi 協議的依賴帶來了潛在風險。如果在這些平台上產生收益的任何礦池或協議受到損害,Blast 用戶的相關代幣也將受到影響。這種依賴 Lido 和 MakerDAO 安全性來保護用戶資金可能會給 Blast 用戶帶來財務問題。
先前,HTX Square 指出,Blast 的 LaunchBridge 合約(0x5f…a47d)不是 Rollup Bridge,而是「受 3/5 多重簽名地址保護的託管合約」。 Polygon Labs 的 Jarrod Watts 也對這些多重簽名位址表示擔憂,稱它們是新建的,所有者未知。
CryptoHopper 對 Blast 自稱為 L2 的說法提出質疑,並表示:“Blast 沒有必要的 L2 狀態根有效性證據,也沒有反欺詐機制。” Resonance 認為 Blast 的風險摘要進一步支持了這些擔憂。
Resonance 也審查了 Lido 和 MakerDAO 的安全協議。 MakerDAO 已經三年沒有發布過對其智能合約的安全審計了,有些審計可以追溯到五年前。
這是令人擔憂的,因為智能合約可能容易受到新發現的漏洞的影響,並且應該定期檢查。 Resonance 表示,在NIST 國家漏洞資料庫中快速查詢智能合約CVE 會傳回2018 年至2024 年間發布的584 筆記錄。 。
維護智慧合約的安全需要採取多方面的方法,包括預先部署和定期安全審計以及錯誤賞金計畫。
“定期溝通和聯合安全測試也可以幫助驗證這些標準並隨著時間的推移進行改進。”
共振安全
較小的項目在選擇第三方供應商時需要謹慎。從長遠來看,主動評估第三方選項是否符合嚴格的安全標準可以為專案省去很多麻煩。如果第三方選項不符合專案要求的標準,開發內部解決方案可能是更安全的選擇。只要專案有資源就可以這樣做。
這允許完全控制安全性。與其他專案建立合作夥伴關係或聯盟可以幫助與大型第三方供應商共同支持更好的安全實踐。共鳴說,統一戰線將比個人努力產生更大的影響力。
傑·哈米德