暗号通貨

Ethereum L2 Blast ソリューションで見つかったセキュリティ問題: Resonance Security



サイバーセキュリティ企業Resonance Securityの調査レポートによると、新しいイーサリアム レイヤ 2 ソリューションである Blast にはセキュリティ上の問題がいくつかあります。 Blast は仮想通貨業界で急速に地位を確立しました。ポイント、エアドロップ、ジャックポット、ネイティブステーキングのリターン、ガス収入の分配が約束されています。しかしレゾナンスは、ブラストはセキュリティ対策を改善する必要があると主張している。

発表から立ち上げまで、Blastは一方通行の橋を渡ってETH入金を受け入れてきました。これにより、ユーザーはネイティブ イールド ポイントとブラスト ポイントを蓄積できるようになり、早期採用者が将来のエアドロップに参加できるようになりました。

イーサリアム L2 ブラスト ソリューションで暴露された憂慮すべきセキュリティ上の欠陥
出典: L2Beat

Paradigm のような大手支援者からの批判にもかかわらず、この戦略により Blast の人気は高まりました。最初の週で 6 億ドルを集め、2024 年 1 月までに 10 億ドル以上に達しました。現在まで、Blast のロックされた総額 (TVL) は 31 億 6,000 万ドルに達し、L2 EVM としては 4 番目に大きいものとなっています。

ユーザーは液体の L2 トークンと引き換えに Blast に ETH を預けることができます。入金されたETHはBlastスマートコントラクト経由でLidoステーキングプールにステーキングされ、4%の金利が得られます。

ステーブルコインに関しては、ユーザーは Blast for USDB に接続します。Blast の公式ステーブルコインは、MakerDAO の T-bill プロトコルを通じて 5% の金利で利回りを生成します。 USDB は、イーサリアムにロールバックすると DAI に引き換えることができます。

Blast Gold はチェーン上に構築された dApp に授与され、Blast のネイティブ機能の使用に対して報酬を与えられ、2 ~ 3 週間ごとまたはジャックポット イベント中に手動で配布されます。

爆発は安全上の問題を引き継ぐ

Resonance によると、Blast は Lido や MakerDAO などのサードパーティ DeFi プロトコルに依存しているため、潜在的なリスクが生じています。これらのプラットフォームで収益を生み出すプールやプロトコルが侵害された場合、Blast ユーザーの関連トークンも影響を受けます。ユーザーの資金を保護するために Lido と MakerDAO のセキュリティに依存すると、Blast ユーザーの経済的問題につながる可能性があります。

Ethereum L2 Blast ソリューションで見つかったセキュリティ問題: Resonance Security
Blast のスマート コントラクトの仕組み。出典: L2Beat

以前、HTX Square は、Blast の LaunchBridge コントラクト (0x5f…a47d) はロールアップ ブリッジではなく、「3/5 マルチシグ アドレスによって保護されたカストディ コントラクト」であると指摘しましたPolygon Labs の Jarrod Watts 氏も、これらのマルチシグ アドレスについて懸念を表明し、これらは新しく作成され、所有者は不明であると述べました。

Ethereum L2 Blast ソリューションで見つかったセキュリティ問題: Resonance Security
出典: ジャロッド・ワッツ

CryptoHopperは、BlastがL2であるという主張に疑問を呈し、「BlastはL2状態のルートに必要な正当性の証拠を持たず、不正防止メカニズムも備えていない」と述べた。レゾナンスは、Blast のリスク概要がこれらの懸念をさらに裏付けていると考えています。

Ethereum L2 Blast ソリューションで見つかったセキュリティ問題: Resonance Security
出典: L2Beat

Resonance は、Lido と MakerDAO のセキュリティ プロトコルもレビューしました。 MakerDAOはスマートコントラクトのセキュリティ監査をここ3年間公表しておらず、一部の監査は5年前に遡る。

スマート コントラクトは新たに発見された脆弱性の影響を受ける可能性があり、定期的にチェックする必要があるため、これは憂慮すべきことです。 Resonance によると、NIST の全国脆弱性データベースでスマート コントラクト CVE を簡単に検索したところ、2018 年から 2024 年の間に公開された 584 件のレコードが返されました。特定のコントラクトがこれらの CVE のすべての影響を受けやすいわけではありませんが、一部の CVE の影響を受けやすい可能性があります。

スマート コントラクトのセキュリティを維持するには、導入前および定期的なセキュリティ監査やバグ報奨金プログラムなど、多面的なアプローチが必要です。

「定期的なコミュニケーションと共同安全テストも、これらの基準を検証し、時間の経過とともに改善するのに役立ちます。」

共振の安全性

小規模なプロジェクトでは、サードパーティ ベンダーを選択する際に細心の注意を払う必要があります。厳格なセキュリティ標準に対応するサードパーティのオプションを積極的に評価することで、長期的にはプロジェクトの多くの悩みを軽減できます。サードパーティのオプションがプロジェクトに必要な基準を満たしていない場合は、社内ソリューションを開発する方が安全な代替手段となる可能性があります。プロジェクトにそうするためのリソースがある限り。

これにより、セキュリティを完全に制御できます。他のプロジェクトとパートナーシップやアライアンスを構築すると、大規模なサードパーティ ベンダーと共同でより良いセキュリティ実践をサポートすることができます。レゾナンス氏は、統一戦線は個人の努力よりも大きな影響力を持つだろうと述べた。

ジェイ・ハミド