Problèmes de sécurité détectés dans la solution Ethereum L2 Blast : Resonance Security

Blast, la nouvelle Ethereum Layer 2, présente certains problèmes de sécurité, selon un rapport de la société de cybersécurité Resonance Security . Blast a rapidement gagné trac dans l’industrie de la cryptographie. Il promet des points, des parachutages, des jackpots, des rendements de mise natifs et un partage des revenus du gaz. Mais Resonance affirme que Blast devrait améliorer ses mesures de sécurité.

De son annonce à son lancement, Blast a accepté les dépôts d'ETH via un pont à sens unique. Cela a permis aux utilisateurs d'accumuler du rendement natif et des Blast Points, promettant aux premiers utilisateurs l'entrée dans un futur airdrop.

Source : L2Beat

Malgré les critiques de grands bailleurs de fonds comme Paradigm, cette stratégie a renforcé la popularité de Blast. Il a trac 600 millions de dollars au cours de sa première semaine, atteignant plus d'un milliard de dollars en janvier 2024. À l'heure actuelle, la valeur totale verrouillée (TVL) de Blast s'élève à 3,16 milliards de dollars, ce qui en fait le quatrième plus grand EVM L2.

Les utilisateurs peuvent déposer des ETH sur Blast en échange de jetons liquides L2. L'ETH déposé est mis en jeu dans les pools de jalonnement du Lido via des trac intelligents Blast, gagnant un taux d'intérêt de 4 %.

Pour les pièces stables, les utilisateurs les relient à Blast pour USDB, le stablecoin officiel de Blast, qui génère un rendement via le protocole T-bill de MakerDAO avec un taux d'intérêt de 5 %. L'USDB peut être échangé contre du DAI lorsqu'il est ramené à Ethereum .

Blast Gold est attribué aux dApps construites sur la chaîne, les récompensant pour l'utilisation des fonctionnalités natives de Blast, et est distribué manuellement toutes les 2 à 3 semaines ou lors d'événements de jackpot.

Blast hérite des problèmes de sécurité

Selon Resonance, la dépendance de Blast à l'égard de protocoles DeFi tiers tels que Lido et MakerDAO introduit des risques potentiels. Si des pools ou des protocoles générateurs de rendement sur ces plates-formes sont compromis, les jetons associés des utilisateurs de Blast seront également affectés. Cette dépendance à l'égard de la sécurité de Lido et de MakerDAO pour protéger les fonds des utilisateurs pourrait entraîner des problèmes financiers pour les utilisateurs de Blast.

Comment fonctionne le trac intelligent de Blast. Source : L2Beat

Auparavant, HTX Square avait souligné trac LaunchBridge de Blast (0x5f…a47d) n'est pas un pont rollup mais un « contrat de garde trac par une adresse multisig 3/5 ». Jarrod Watts de Polygon Labs a également fait part de ses inquiétudes concernant ces adresses multisig, affirmant qu'elles sont nouvellement créées et que leurs propriétaires sont inconnus.

Source : Jarrod Watts

CryptoHopper a remis en question l'affirmation de Blast selon laquelle il s'agit d'un L2, déclarant : « Blast ne dispose pas des preuves de validité nécessaires pour une racine d'état L2 et ne dispose pas d'un mécanisme anti-fraude en place. » Resonance pense que le résumé des risques de Blast corrobore davantage ces préoccupations.

Source : L2Beat

Resonance a également examiné les protocoles de sécurité de Lido et MakerDAO. MakerDAO n'a pas publié d' audit de sécurité de ses contrats intelligents trac trois ans, certains audits remontant à cinq ans.

Ceci est préoccupant car les trac intelligents peuvent être sensibles à des vulnérabilités nouvellement découvertes et doivent être audités périodiquement. Resonance indique qu'une requête rapide sur les trac de contrats intelligents dans la base de données nationale de vulnérabilité du NIST a renvoyé 584 enregistrements publiés entre 2018 et 2024. Bien que des trac spécifiques ne soient pas susceptibles d'être sensibles à tous ces CVE, ils le sont probablement à certains.

Le maintien de la sécurité des trac intelligents nécessite une approche à multiples facettes, comprenant des audits de sécurité préalables et périodiques et des programmes de bug bounty.

« Une communication régulière et des tests de sécurité conjoints peuvent également contribuer à valider ces normes et à les améliorer au fil du temps. »

Sécurité de résonance

Les petits projets doivent être méticuleux lors du choix de leurs fournisseurs tiers. Vérifier de manière proactive les options tierces pour respecter des normes de sécurité strictes peut éviter aux projets de nombreux maux de tête à long terme. Si les options tierces ne répondent pas aux normes requises d'un projet, le développement de solutions internes pourrait être une alternative plus sûre. Tant que le projet a les ressources pour le faire.

Cela permet un contrôle complet sur la sécurité. La formation de partenariats ou d'alliances avec d'autres projets peut aider à plaider collectivement en faveur de meilleures pratiques de sécurité auprès de grands fournisseurs tiers. Un front uni aura plus d’influence que les efforts individuels, a déclaré Resonance.

Jaï Hamid