Бутербродна атака сталася на Last

Рано вранці 1 грудня трейдер повідомив у соціальних мережах, що ліміт прослизання депозитів Blast USDT за замовчуванням встановлено на рівні 10%. Після того, як користувач ініціює транзакцію, транзакція закріплюється транзакцією DAI на суму 70 мільйонів доларів США в Curve 3pool. За годину зловмисники вилучили понад $100 000.

Згодом Blast опублікував у своїй соціальній мережі пост про план компенсації за сендвіч-атаку. Blast сказав, що коли користувач вносить USDT, Blast Bridge конвертується в DAI під час депозитної транзакції. Неправильна конфігурація параметра прослизання в інтерфейсі користувача призвела до того, що користувач отримав на 100 000 DAI менше, ніж мав би, за 2 транзакції. Blast повідомив, що помилка конфігурації була усунена і надішле постраждалим користувачам суму, втрачену через прослизання, і додатковий бонус у розмірі 10% на загальну суму 110 000 USDT.

Бласт додав, що після запиту історичних транзакцій було підтверджено, що це вплинуло лише на транзакції одного користувача.

Спільнота, як і раніше, стурбована безпекою Blast

Минуло всього близько десяти хвилин між моментом, коли трейдер сказав, що атака можлива, і моментом, коли Blast дав рішення. Однак спільнота все ще стурбована безпекою Blast, вважаючи, що це не той самий L2, що й Ethereum. Деякі користувачі спільноти навіть сказали, що Blast “перестаньте називати його мостом”.

У розділі коментарів до офіційного твіту Last деякі користувачі сказали, що не можуть зрозуміти, як «неправильно розрахований параметр прослизання» призвів до того, що $200 000 в USDT були обміняні на $100 000 у DAI. Він не розуміє, як MEV може дозволити таку торгівлю, навіть якщо він встановив прослизання на рівні 50% з якоїсь божевільної причини.

Оскільки початкова сума транзакції не була офіційно оголошена, неможливо припустити, чи є поводження Blast розумним, але занепокоєння користувачів спільноти також відображає, що Blast сьогодні не повністю довіряє ринку.

З того часу, як засновник Blur Пакман оголосив про запуск Blast 21 листопада, TVL Blast досяг 640 мільйонів доларів за 10 днів станом на 1 грудня.

Однак стрімке зростання даних TVL призвело до великої дискусії на ринку про ризики його безпеки, і інженери Polygon прямо заявили, що «це не L2», він сказав, що Blast – це просто смарт-контракт з двома функціями: 1. Приймати кошти користувачів. 2. Інвестуйте кошти користувачів у такі протоколи, як Lido. Немає ні тестових мереж, ні транзакцій, ні мостів, ні ролапів, ні даних про транзакції, що надсилаються в Ethereum.

Пізніше Blast опублікував заяву у відповідь на запитання безпеки, заявивши, що одна з адрес мультипідпису буде оновлена протягом тижня, і сказав, що контракт був встановлений з міркувань безпеки.

На думку Бласта, «поки сам проєкт не є злом, немає блокування часу, а смарт-контракти можна модернізувати, це безпечніший вибір». Але чи готові користувачі довіряти Last?