Une attaque sandwich s’est produite sur Last

Aux premières heures du 1er décembre, un trader s’est rendu sur les réseaux sociaux pour dire que la limite de glissement pour les dépôts USDT de Blast avait été fixée à 10 % par défaut. Une fois qu’un utilisateur a initié une transaction, celle-ci est prise en sandwich par une transaction DAI de 70 millions de dollars dans Curve 3pool. En moins d’une heure, les assaillants ont mis la main sur plus de 100 000 dollars.

Par la suite, Blast a publié sur sa plateforme de médias sociaux le plan d’indemnisation pour l’attaque sandwich. Blast a déclaré que lorsqu’un utilisateur dépose des USDT, Blast Bridge se convertit en DAI dans la transaction de dépôt. En raison d’une mauvaise configuration du paramètre de glissement sur l’interface utilisateur, un utilisateur recevait 100 000 DAI de moins qu’il ne le devrait en 2 transactions. Blast a déclaré que l’erreur de configuration a été résolue et enverra aux utilisateurs concernés le montant perdu en raison du glissement et un bonus supplémentaire de 10 %, soit un total de 110 000 USDT.

Blast a ajouté qu’après avoir interrogé les transactions historiques, il a été confirmé qu’un seul utilisateur avait été affecté.

La communauté est toujours préoccupée par la sécurité de Blast

Il ne s’est écoulé qu’une dizaine de minutes entre le moment où le trader a dit que l’attaque était possible et le moment où Blast a donné une solution. Cependant, la communauté est toujours préoccupée par la sécurité de Blast, estimant qu’il ne s’agit pas de la même L2 qu’Ethereum. Certains utilisateurs de la communauté ont même déclaré que Blast « arrêtez de l’appeler un pont ».

Dans la section des commentaires du tweet officiel de Last, certains utilisateurs ont déclaré qu’ils ne pouvaient pas comprendre comment le « paramètre de glissement mal calculé » a provoqué l’échange de 200 000 $ en USDT contre 100 000 $ en DAI. Il ne comprend pas comment MEV permettrait ce genre de trading de se produire, même s’il a fixé le slippage à 50% pour une raison folle.

Étant donné que le montant initial de la transaction n’a pas été officiellement annoncé, il est impossible de spéculer sur le fait que la gestion de Blast est raisonnable, mais les préoccupations des utilisateurs de la communauté reflètent également le fait que Blast n’est pas entièrement approuvé par le marché aujourd’hui.

Depuis que le fondateur de Blur, Pacman, a annoncé le lancement de Blast le 21 novembre, la TVL de Blast a atteint 640 millions de dollars en 10 jours au 1er décembre.

Cependant, la montée en flèche rapide des données TVL a conduit à une grande discussion sur le marché sur ses risques de sécurité, et les ingénieurs de Polygon ont carrément déclaré que « ce n’est pas L2 », il a déclaré que Blast n’est qu’un contrat intelligent avec deux fonctions : 1. Accepter les fonds des utilisateurs. 2. Investissez les fonds des utilisateurs dans des protocoles tels que Lido. Il n’y a pas de réseaux de test, pas de transactions, pas de ponts, pas de cumuls et pas de données de transaction envoyées à Ethereum.

Plus tard, Blast a publié une déclaration en réponse à des questions de sécurité, disant que l’une des adresses multisig serait mise à jour dans une semaine, et a déclaré que le contrat avait été établi pour des raisons de sécurité.

Le point de vue de Blast est que « tant que le projet lui-même n’est pas mauvais, qu’il n’y a pas de verrouillage temporel et que les contrats intelligents peuvent être mis à niveau, c’est un choix plus sûr ». Mais les utilisateurs sont-ils prêts à faire confiance à Last ?