Сэндвич-атака произошла на Last

Рано утром 1 декабря трейдер сообщил в социальных сетях, что лимит проскальзывания для депозитов Blast в USDT по умолчанию установлен на уровне 10%. После того, как пользователь инициирует транзакцию, транзакция зажата транзакцией DAI на сумму 70 миллионов долларов США в Curve 3pool. В течение часа злоумышленники изъяли более 100 000 долларов.

Впоследствии Blast разместила в своей социальной сети пост о плане компенсации за атаку с использованием сэндвича. Blast сказал, что когда пользователь вносит USDT, Blast Bridge конвертирует их в DAI в транзакции депозита. Неправильная настройка параметра проскальзывания в пользовательском интерфейсе привела к тому, что пользователь получил на 100 000 DAI меньше, чем должен, за 2 транзакции. Blast заявила, что ошибка конфигурации была устранена и отправит пострадавшим пользователям сумму, потерянную из-за проскальзывания, и дополнительный бонус в размере 10% на общую сумму 110 000 USDT.

Бласт добавил, что после запроса исторических транзакций было подтверждено, что были затронуты только транзакции одного пользователя.

Сообщество по-прежнему обеспокоено безопасностью Blast

Прошло всего около десяти минут между моментом, когда трейдер сказал, что атака возможна, и моментом, когда Бласт дал решение. Тем не менее, сообщество по-прежнему обеспокоено безопасностью Blast, считая, что это не тот же L2, что и Ethereum. Некоторые пользователи сообщества даже заявили, что Blast «перестал называть его мостом».

В разделе комментариев к официальному твиту Ласта некоторые пользователи заявили, что не могут понять, как «неправильно рассчитанный параметр проскальзывания» привел к тому, что 200 000 долларов в USDT были обменены на 100 000 долларов в DAI. Он не понимает, как MEV может позволить такую торговлю, даже если он по какой-то сумасшедшей причине установил проскальзывание на уровне 50%.

Поскольку первоначальная сумма транзакции не была официально объявлена, невозможно предположить, является ли обработка Blast разумной, но опасения пользователей сообщества также отражают то, что Blast сегодня не пользуется полным доверием рынка.

С тех пор, как основатель Blur Пакман объявил о запуске Blast 21 ноября, TVL Blast достиг 640 миллионов долларов за 10 дней по состоянию на 1 декабря.

Однако стремительно растущие данные TVL привели к большой дискуссии на рынке о рисках безопасности, и инженеры Polygon прямо заявили, что «это не L2», он сказал, что Blast — это просто смарт-контракт с двумя функциями: 1. Принимать средства пользователей. 2. Инвестируйте средства пользователей в такие протоколы, как Lido. Нет ни тестовых сетей, ни транзакций, ни мостов, ни роллапов, ни данных о транзакциях, отправляемых в Ethereum.

Позже Blast выступил с заявлением в ответ на контрольные вопросы, заявив, что один из адресов мультиподписи будет обновлен в течение недели, и сказал, что контракт установлен из соображений безопасности.

По мнению Бласта, «до тех пор, пока сам проект не является злом, нет временной блокировки, а смарт-контракты могут быть обновлены, это более безопасный выбор». Но готовы ли пользователи доверять Last?