Blast, la nuova soluzione Ethereum Layer 2, presenta alcuni problemi di sicurezza, secondo un rapporto di ricerca della società di sicurezza informatica Resonance Security . Blast ha rapidamente guadagnato terreno nel settore delle criptovalute. Promette punti, lanci aerei, jackpot, rendimenti di staking nativi e condivisione delle entrate del gas. Ma Resonance afferma che Blast dovrebbe migliorare le sue misure di sicurezza.
Dal suo annuncio al suo lancio, Blast ha accettato depositi di ETH attraverso un ponte a senso unico. Ciò ha consentito agli utenti di accumulare rendimento nativo e punti esplosione, promettendo ai primi utilizzatori l'ingresso in un futuro airdrop.
Nonostante le critiche dei principali finanziatori come Paradigm, questa strategia ha aumentato la popolarità di Blast. Ha attirato 600 milioni di dollari nella prima settimana, raggiungendo oltre 1 miliardo di dollari entro gennaio 2024. Ad oggi, il valore totale bloccato (TVL) di Blast è pari a 3,16 miliardi di dollari, rendendolo il quarto EVM L2 più grande.
Gli utenti possono depositare ETH su Blast in cambio di token L2 liquidi. L'ETH depositato viene puntato negli staking pool del Lido tramite contratti intelligenti Blast, guadagnando un tasso di interesse del 4%.
Per quanto riguarda le stablecoin, gli utenti li collegano a Blast per USDB, la stablecoin ufficiale di Blast, che genera rendimento attraverso il protocollo T-bill di MakerDAO con un tasso di interesse del 5%. L'USDB può essere riscattato in DAI quando viene riportato su Ethereum.
Blast Gold viene assegnato alle dApp costruite sulla catena, premiandole per l'utilizzo delle funzionalità native di Blast, e viene distribuito manualmente ogni 2-3 settimane o durante gli eventi con jackpot.
L'esplosione eredita problemi di sicurezza
Secondo Resonance, la dipendenza di Blast da protocolli DeFi di terze parti come Lido e MakerDAO introduce potenziali rischi. Se eventuali pool o protocolli che generano rendimento su queste piattaforme vengono compromessi, anche i token associati degli utenti Blast ne risentiranno. Questa dipendenza dalla sicurezza di Lido e MakerDAO per proteggere i fondi degli utenti potrebbe portare a problemi finanziari per gli utenti di Blast.
In precedenza, HTX Square aveva sottolineato che il contratto LaunchBridge di Blast (0x5f…a47d) non è un rollup bridge ma un "contratto di custodia protetto da un indirizzo multisig 3/5". Anche Jarrod Watts di Polygon Labs ha espresso preoccupazione per questi indirizzi multisig, affermando che sono di nuova creazione e i loro proprietari sono sconosciuti.
CryptoHopper ha messo in dubbio l'affermazione di Blast di essere un L2, affermando: "Blast non dispone delle necessarie prove di validità per una radice di stato L2 e non dispone di un meccanismo antifrode." Resonance ritiene che il Riepilogo dei rischi di Blast confermi ulteriormente queste preoccupazioni.
Resonance ha anche esaminato i protocolli di sicurezza di Lido e MakerDAO. MakerDAO non pubblica un audit di sicurezza dei propri contratti intelligenti da tre anni, con alcuni audit risalenti a cinque anni fa.
Ciò è preoccupante perché i contratti intelligenti possono essere suscettibili alle vulnerabilità appena scoperte e dovrebbero essere controllati periodicamente. Resonance afferma che una rapida query per i CVE degli smart contract nel database nazionale delle vulnerabilità del NIST ha restituito 584 record pubblicati tra il 2018 e il 2024. Sebbene contratti specifici potrebbero non essere suscettibili a tutti questi CVE, sono probabilmente suscettibili ad alcuni.
Il mantenimento della sicurezza dei contratti intelligenti richiede un approccio articolato, tra cui controlli di sicurezza pre-implementazione e periodici e programmi di bug bounty.
“Una comunicazione regolare e test congiunti sulla sicurezza possono anche aiutare a convalidare questi standard e a migliorarli nel tempo”.
Sicurezza della risonanza
I progetti più piccoli devono essere meticolosi nella scelta dei fornitori terzi. Valutare in modo proattivo le opzioni di terze parti per rigorosi standard di sicurezza può risparmiare molti grattacapi ai progetti a lungo termine. Se le opzioni di terze parti non soddisfano gli standard richiesti da un progetto, lo sviluppo di soluzioni interne potrebbe rappresentare un'alternativa più sicura. Purché il progetto abbia le risorse per farlo.
Ciò consente il controllo completo sulla sicurezza. La creazione di partenariati o alleanze con altri progetti può aiutare a sostenere collettivamente migliori pratiche di sicurezza con fornitori di terze parti più grandi. Un fronte unito avrà più influenza degli sforzi individuali, ha affermato Resonance.
Jai Hamid