В решении Ethereum L2 обнаружены проблемы безопасности: Resonance Security

у Blast, нового Ethereum Согласно исследовательскому отчету компании Resonance SecurityBlast быстро завоевал tracв криптоиндустрии. Он обещает баллы, аирдропы, джекпоты, доходность от стейкинга и распределение доходов от газа. Но Resonance утверждает, что Blast следует улучшить меры безопасности.

С момента анонса и до запуска Blast принимал депозиты в ETH через односторонний мост. Это позволяло пользователям накапливать собственный доход и Blast Points, обещая первым пользователям участие в будущей раздаче. 

Несмотря на критику со стороны крупных финансовых спонсоров, таких как Paradigm, эта стратегия повысила популярность Blast. За первую неделю былоtrac600 миллионов долларов, а к январю 2024 года сумма превысила 1 миллиард долларов. На данный момент общая заблокированная стоимость (TVL) Blast составляет 3,16 миллиарда долларов, что делает его четвертым по величине EVM L2.

Пользователи могут вносить ETH на Blast в обмен на ликвидные токены L2. Внесенные ETH размещаются в пулах стейкинга Lido через смарт-tracBlast, принося 4% годовых. 

Для обмена стейблкоинов пользователи переводят их на Blast, получая USDB — официальный стейблкоин Blast, который генерирует доход через протокол казначейских векселей MakerDAO с процентной ставкой 5%. USDB можно обменять на DAI при обратном переводе на Ethereum.

Blast Gold начисляется децентрализованным приложениям (dApps), созданным на блокчейне, в качестве вознаграждения за использование функций, изначально разработанных для Blast, и распределяется вручную каждые 2-3 недели или во время джекпот-событий.

Blast унаследовал проблемы безопасности

По данным Resonance, зависимость Blast от сторонних DeFi протоколов, таких как Lido и MakerDAO, создает потенциальные риски. Если какие-либо пулы или протоколы, генерирующие доход на этих платформах, будут скомпрометированы, это также повлияет на токены пользователей Blast. Эта зависимость от безопасности Lido и MakerDAO для защиты средств пользователей может привести к финансовым проблемам для пользователей Blast.

Ранее HTX Square указала LaunchBridge от Blasttrac(0x5f…a47d) не является мостом с накопительной подписью, а представляет собой «кастодиальный контрактtracзащищенный адресом с мультиподписью 3/5». Джаррод Уоттс из Polygon Labs также выразил обеспокоенность по поводу этих адресов с мультиподписью, заявив, что они созданы недавно, и их владельцы неизвестны. 

CryptoHopper поставил под сомнение утверждение Blast о том, что это система уровня L2, заявив: «У Blast отсутствуют необходимые доказательства действительности для корневого состояния уровня L2, и в системе отсутствует механизм защиты от мошенничества». Resonance считает, что сводка рисков Blast дополнительно подтверждает эти опасения.

Компания Resonance также изучила протоколы безопасности Lido и MakerDAO. MakerDAO не публиковала аудит безопасности своих смарт-контрактовtracтечение трех лет, а некоторые аудиты датируются пятилетней давностью. 

Это вызывает беспокойство, поскольку смарт-tracмогут быть подвержены вновь обнаруженным уязвимостям и должны периодически проверяться. Компания Resonance заявляет, что быстрый запрос на наличие CVE для смарт-tracв Национальной базе данных уязвимостей NIST вернул 584 записи, опубликованные в период с 2018 по 2024 год. Хотя конкретныеtracмогут быть не подвержены всем этим CVE, они, вероятно, подвержены некоторым из них.

Для обеспечения безопасности смарт-tracнеобходим многогранный подход, включающий в себя проверки безопасности перед развертыванием и периодические аудиты безопасности, а также программы вознаграждения за обнаружение уязвимостей.

«Регулярное общение и совместное тестирование безопасности также могут помочь подтвердить соответствие этим стандартам и улучшить их с течением времени»

Резонансная безопасность

Небольшим проектам необходимо тщательно выбирать сторонних поставщиков. Проактивная проверка сторонних решений на соответствие строгим стандартам безопасности может избавить проекты от многих проблем в долгосрочной перспективе. Если сторонние решения не соответствуют требуемым стандартам проекта, разработка собственных решений может стать более безопасной альтернативой, если у проекта есть для этого необходимые ресурсы. 

Это позволяет полностью контролировать безопасность. Формирование партнерских отношений или альянсов с другими проектами может помочь коллективно продвигать более эффективные методы обеспечения безопасности среди крупных сторонних поставщиков. Единый фронт будет иметь больше влияния, чем индивидуальные усилия, заявили в Resonance.

Джай Хамид