Blast, la nouvelle solution Ethereum Layer 2, présente certains problèmes de sécurité, selon un rapport de recherche de la société de cybersécurité Resonance Security . Blast a rapidement gagné du terrain dans le secteur des cryptomonnaies. Il promet des points, des parachutages, des jackpots, des retours de mise natifs et un partage des revenus du gaz. Mais Resonance affirme que Blast devrait améliorer ses mesures de sécurité.
Depuis son annonce jusqu'à son lancement, Blast a accepté les dépôts d'ETH via un pont à sens unique. Cela a permis aux utilisateurs d’accumuler du rendement natif et des points d’explosion, promettant aux premiers utilisateurs l’entrée dans un futur parachutage.
Malgré les critiques de grands bailleurs de fonds comme Paradigm, cette stratégie a accru la popularité de Blast. Il a attiré 600 millions de dollars au cours de sa première semaine, atteignant plus d'un milliard de dollars en janvier 2024. À ce jour, la valeur totale verrouillée (TVL) de Blast s'élève à 3,16 milliards de dollars, ce qui en fait le quatrième plus grand EVM L2.
Les utilisateurs peuvent déposer de l'ETH sur Blast en échange de jetons liquides L2. L'ETH déposé est mis en jeu dans les pools de jalonnement du Lido via des contrats intelligents Blast, gagnant un taux d'intérêt de 4 %.
Quant aux stablecoins, les utilisateurs les connectent à Blast pour USDB, le stablecoin officiel de Blast, qui génère un rendement via le protocole T-bill de MakerDAO avec un taux d'intérêt de 5 %. L'USDB peut être échangé contre DAI une fois restauré sur Ethereum.
Blast Gold est attribué aux dApps construites sur la chaîne, les récompensant pour l'utilisation des fonctionnalités natives de Blast, et est distribué manuellement toutes les 2-3 semaines ou lors d'événements de jackpot.
L'explosion hérite de problèmes de sécurité
Selon Resonance, la dépendance de Blast à l'égard de protocoles DeFi tiers tels que Lido et MakerDAO introduit des risques potentiels. Si des pools ou des protocoles générant du rendement sur ces plateformes sont compromis, les jetons associés des utilisateurs de Blast seront également affectés. Cette dépendance à l'égard de la sécurité de Lido et MakerDAO pour protéger les fonds des utilisateurs pourrait entraîner des problèmes financiers pour les utilisateurs de Blast.
Auparavant, HTX Square avait souligné que le contrat LaunchBridge de Blast (0x5f…a47d) n'est pas un pont rollup mais un "contrat de garde protégé par une adresse multisig 3/5". Jarrod Watts de Polygon Labs a également exprimé son inquiétude concernant ces adresses multisig, affirmant qu'elles sont nouvellement créées et que leurs propriétaires sont inconnus.
CryptoHopper a remis en question l'affirmation de Blast selon laquelle il s'agit d'un L2, déclarant : "Blast ne dispose pas des preuves de validité nécessaires pour une racine d'état L2 et ne dispose pas de mécanisme anti-fraude." Resonance estime que le résumé des risques de Blast soutient davantage ces préoccupations.
Resonance a également examiné les protocoles de sécurité de Lido et MakerDAO. MakerDAO n'a pas publié d' audit de sécurité de ses contrats intelligents depuis trois ans, certains audits remontant à cinq ans.
Ceci est préoccupant car les contrats intelligents peuvent être sensibles à des vulnérabilités nouvellement découvertes et doivent être vérifiés périodiquement. Resonance indique qu'une requête rapide sur les CVE des contrats intelligents dans la base de données nationale de vulnérabilité du NIST a renvoyé 584 enregistrements publiés entre 2018 et 2024. Bien que des contrats spécifiques ne soient pas susceptibles d'être sensibles à tous ces CVE, ils le sont probablement à certains.
Le maintien de la sécurité des contrats intelligents nécessite une approche multidimensionnelle, comprenant des audits de sécurité préalables et périodiques et des programmes de bug bounty.
« Une communication régulière et des tests de sécurité conjoints peuvent également contribuer à valider ces normes et à les améliorer au fil du temps. »
Sécurité de résonance
Les petits projets doivent être méticuleux lors du choix des fournisseurs tiers. L’évaluation proactive des options tierces pour des normes de sécurité rigoureuses peut éviter aux projets bien des maux de tête à long terme. Si les options tierces ne répondent pas aux normes requises par un projet, le développement de solutions internes peut être une alternative plus sûre. Tant que le projet a les ressources pour le faire.
Cela permet un contrôle total sur la sécurité. La création de partenariats ou d'alliances avec d'autres projets peut aider à soutenir collectivement de meilleures pratiques de sécurité avec de plus grands fournisseurs tiers. Un front uni aura plus d’influence que les efforts individuels, a déclaré Resonance.
Jaï Hamid