Un ataque de sándwich ocurrió en Last

En las primeras horas del 1 de diciembre, un trader acudió a las redes sociales para decir que el límite de deslizamiento para los depósitos de USDT de Blast se había establecido en el 10% por defecto. Después de que un usuario inicia una transacción, la transacción se intercala con una transacción DAI de USD 70 millones en Curve 3pool. En una hora, los atacantes se apoderaron de más de 100.000 dólares.

Posteriormente, Blast publicó en su plataforma de redes sociales sobre el plan de compensación por el ataque del sándwich. Blast dijo que cuando un usuario deposita USDT, Blast Bridge se convierte en DAI en la transacción de depósito. Una configuración incorrecta del parámetro de deslizamiento en la interfaz de usuario hizo que un usuario recibiera 100 000 DAI menos de lo que debería en 2 transacciones. Blast dijo que el error de configuración se ha resuelto y enviará a los usuarios afectados la cantidad perdida debido al deslizamiento y una bonificación adicional del 10%, por un total de 110,000 USDT.

Blast agregó que después de consultar las transacciones históricas, se confirmó que solo las transacciones de un usuario se vieron afectadas.

La comunidad sigue preocupada por la seguridad de Blast

Pasaron solo unos diez minutos entre el momento en que el comerciante dijo que el ataque era posible y el momento en que Blast dio una solución. Sin embargo, la comunidad sigue preocupada por la seguridad de Blast, creyendo que no es la misma L2 que Ethereum. Algunos usuarios de la comunidad incluso han dicho que Blast “deja de llamarlo puente”.

En la sección de comentarios del tweet oficial de Last, algunos usuarios dijeron que no podían entender cómo el “parámetro de deslizamiento mal calculado” hizo que USD 200,000 en USDT se cambiaran por USD 100,000 en DAI. No entiende cómo MEV permitiría que se produjera este tipo de operaciones, incluso si estableciera el deslizamiento en el 50% por alguna razón loca.

Dado que el monto de la transacción original no se ha anunciado oficialmente, es imposible especular si el manejo de Blast es razonable, pero las preocupaciones de los usuarios de la comunidad también reflejan que el mercado no confía plenamente en Blast hoy en día.

Desde que el fundador de Blur, Pacman, anunció el lanzamiento de Blast el 21 de noviembre, el TVL de Blast ha alcanzado los 640 millones de dólares en 10 días a partir del 1 de diciembre.

Sin embargo, el rápido aumento de los datos de TVL ha llevado a una gran discusión en el mercado sobre sus riesgos de seguridad, y los ingenieros de Polygon han dicho sin rodeos que “esto no es L2”, dijo que Blast es solo un contrato inteligente con dos funciones: 1. Aceptar los fondos de los usuarios. 2. Invertir los fondos de los usuarios en protocolos como Lido. No hay redes de prueba, ni transacciones, ni puentes, ni rollups, ni datos de transacciones enviados a Ethereum.

Más tarde, Blast emitió un comunicado en respuesta a las preguntas de seguridad, diciendo que una de las direcciones multifirma se actualizaría dentro de una semana, y dijo que el contrato se estableció por razones de seguridad.

El punto de vista de Blast es que “siempre que el proyecto en sí no sea malo, no haya bloqueo de tiempo y los contratos inteligentes se puedan actualizar, es una opción más segura”. Pero, ¿están los usuarios dispuestos a confiar en Last?