Resonance Security cảnh báo những vấn đề bảo mật gây lo ngại của Ethereum L2 Blast

Theo báo cáo nghiên cứu của công ty bảo mật mạng Resonance Security, giải pháp Ethereum layer 2 Blast có một số lo ngại về bảo mật.

Blast nhanh chóng đạt được sức hút trong ngành công nghiệp tiền điện tử. Dự án hứa hẹn cung cấp point (điểm), airdrop, jackpot, lợi nhuận staking gốc và chia sẻ doanh thu gas. Nhưng Resonance cho biết Blast nên cải thiện các biện pháp bảo mật của mình.

Từ khi thông báo cho đến khi ra mắt, Blast đã chấp nhận tiền gửi ETH thông qua cầu nối một chiều. Điều này cho phép người dùng tích lũy lợi nhuận gốc và Blast Point, hứa hẹn những người chấp nhận sớm sẽ có cơ hội tham gia vào airdrop trong tương lai.

Nguồn: L2Beat

Bất chấp lời chỉ trích từ những người ủng hộ tài chính lớn như Paradigm, chiến lược này đã thúc đẩy sự nổi tiếng của Blast. Nó thu hút 600 triệu đô la trong tuần đầu tiên, đạt hơn 1 tỷ đô la vào tháng 1/2024. Tính đến thời điểm hiện tại, tổng giá trị bị khóa (TVL) của Blast là 3,16 tỷ đô la, trở thành layer 2 EVM lớn thứ tư.

Người dùng có thể gửi ETH vào Blast để đổi lấy token layer 2 thanh khoản. ETH ký gửi sẽ được stake vào các staking pool của Lido thông qua hợp đồng thông minh Blast, nhận lợi suất 4%.

Ngoài ra, người dùng có thể kết nối stablecoin với Blast để lấy USDB, stablecoin chính thức của Blast, tạo ra lợi nhuận thông qua giao thức T-bill của MakerDAO với lợi suất 5%. USDB có thể được đổi lấy DAI khi kết nối trở lại Ethereum.

Blast Gold được trao cho các ứng dụng phi tập trung (dApp) xây dựng trên chain, thưởng cho họ khi sử dụng các tính năng gốc của Blast và được phân phối thủ công sau mỗi 2-3 tuần hoặc trong các sự kiện jackpot.

Những lo ngại về bảo mật

Theo Resonance, việc Blast phụ thuộc vào các giao thức DeFi của bên thứ ba như Lido và MakerDAO tiềm ẩn nhiều rủi ro. Nếu bất kỳ pool tạo lợi nhuận hoặc giao thức nào trên các nền tảng này bị xâm phạm thì các token liên quan của người dùng Blast cũng sẽ bị ảnh hưởng. Phụ thuộc vào bảo mật của Lido và MakerDAO để bảo vệ tiền của người dùng có thể dẫn đến các vấn đề tài chính cho người dùng Blast.

Hợp đồng thông minh của Blast | Nguồn: L2Beat

Trước đây, HTX Square đã chỉ ra rằng hợp đồng LaunchBridge của Blast (0x5f…a47d) không phải là một cầu nối rollup mà là “hợp đồng lưu ký (custody) được bảo vệ bởi địa chỉ multisig (đa chữ ký) 3/5”. Jarrod Watts của Polygon Labs cũng đưa ra quan ngại về những địa chỉ multisig này, nói rằng chúng mới được tạo và chưa xác định được chủ sở hữu.

CryptoHopper đặt câu hỏi về tuyên bố là layer 2 của Blast, nói rõ:

“Blast thiếu bằng chứng hợp lệ cần thiết cho gốc rễ trạng thái layer 2 và không có cơ chế chống gian lận”.

Resonance cho rằng Bản tóm tắt rủi ro của Blast chứng thực thêm những lo ngại này.

Nguồn: L2Beat

Resonance cũng xem xét các giao thức bảo mật của Lido và MakerDAO. MakerDAO đã không công bố bản kiểm toán bảo mật cho các hợp đồng thông minh của họ trong ba năm, với một số cuộc kiểm toán đã có từ 5 năm trước.

Điều này đáng lo ngại vì hợp đồng thông minh có thể dễ bị ảnh hưởng bởi các lỗ hổng mới được phát hiện và cần được kiểm toán định kỳ. Resonance cho biết truy vấn nhanh các CVE hợp đồng thông minh trong Cơ sở dữ liệu dễ bị tổn hại quốc gia của NIST cho thấy 584 bản ghi được xuất bản từ năm 2018 đến năm 2024. Tuy các hợp đồng không nhạy cảm với tất cả các CVE này, nhưng chúng dễ bị ảnh hưởng bởi một số trong đó.

Việc duy trì bảo mật hợp đồng thông minh đòi hỏi cách tiếp cận nhiều mặt, bao gồm kiểm toán bảo mật trước khi triển khai và định kỳ cũng như các chương trình thưởng lỗi.

“Liên lạc thường xuyên và cùng kiểm tra bảo mật cũng có thể giúp xác thực các tiêu chuẩn này và cải thiện chúng theo thời gian”.

Các dự án nhỏ hơn cần phải tỉ mỉ khi lựa chọn nhà cung cấp bên thứ ba. Chủ động xem xét các lựa chọn của bên thứ ba để đảm bảo tiêu chuẩn bảo mật nghiêm ngặt có thể giúp các dự án tránh nhiều vấn đề đau đầu về lâu dài. Nếu các lựa chọn của bên thứ ba không đáp ứng tiêu chuẩn bắt buộc của dự án thì phát triển giải pháp nội bộ có thể là giải pháp thay thế an toàn hơn miễn là dự án có đủ nguồn lực để làm như vậy.

Điều này cho phép kiểm soát hoàn toàn bảo mật. Việc hình thành quan hệ đối tác hoặc liên minh với các dự án khác có thể giúp hỗ trợ chung cho những biện pháp bảo mật tốt hơn với các nhà cung cấp bên thứ ba lớn hơn. Resonance cho biết một mặt trận thống nhất sẽ có nhiều ảnh hưởng hơn những nỗ lực của cá nhân.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter (X): https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

• Token Blast tăng 40% sau khi ra mắt airdrop trị giá 2 tỷ USD
• Token Blast ra mắt với vốn hóa 3 tỷ đô la khi 17% nguồn cung được airdrop
• Binance thực thi các biện pháp chặt chẽ hơn chống lạm dụng tài khoản

Minh Anh

Theo Cryptopolitan