Một cuộc tấn công bánh sandwich đã xảy ra vào cuối cùng

Vào đầu giờ ngày 1/12, một nhà giao dịch đã lên mạng xã hội để nói rằng giới hạn trượt giá đối với các khoản tiền gửi USDT của Blast được đặt ở mức 10% theo mặc định. Sau khi người dùng bắt đầu giao dịch, giao dịch được kẹp bởi giao dịch DAI trị giá 70 triệu đô la trong Curve 3pool. Trong vòng một giờ, những kẻ tấn công đã thu giữ hơn 100.000 đô la.

Sau đó, Blast đã đăng trên nền tảng truyền thông xã hội của mình về kế hoạch bồi thường cho vụ tấn công bánh sandwich. Blast nói rằng khi người dùng nạp USDT, Blast Bridge sẽ chuyển đổi sang DAI trong giao dịch nạp tiền. Việc cấu hình sai tham số trượt giá trên giao diện người dùng khiến người dùng nhận được ít hơn 100.000 DAI so với mức cần thiết trong 2 giao dịch. Blast nói rằng lỗi cấu hình đã được giải quyết và sẽ gửi cho người dùng bị ảnh hưởng số tiền bị mất do trượt giá và thêm 10% tiền thưởng, tổng cộng 110.000 USDT.

Blast nói thêm rằng sau khi truy vấn các giao dịch lịch sử, nó đã được xác nhận rằng chỉ có một giao dịch của người dùng bị ảnh hưởng.

Cộng đồng vẫn lo ngại về sự an toàn của Blast

Chỉ mất khoảng mười phút từ khi thương nhân nói rằng cuộc tấn công có thể xảy ra và khi Blast đưa ra giải pháp. Tuy nhiên, cộng đồng vẫn lo ngại về tính bảo mật của Blast, tin rằng nó không giống L2 với Ethereum. Một số người dùng cộng đồng thậm chí còn nói rằng Blast “ngừng gọi nó là một cây cầu”.

Trong phần bình luận của tweet chính thức của Last, một số người dùng nói rằng họ không thể hiểu làm thế nào mà “thông số trượt giá được tính toán sai” đã khiến 200.000 đô la USDT được đổi lấy 100.000 đô la bằng DAI. Anh ta không hiểu làm thế nào MEV sẽ cho phép loại giao dịch này xảy ra, ngay cả khi anh ta đặt mức trượt giá ở mức 50% vì một số lý do điên rồ.

Do số tiền giao dịch ban đầu chưa được công bố chính thức nên chưa thể suy đoán liệu cách xử lý của Blast có hợp lý hay không, nhưng những lo ngại của người dùng cộng đồng cũng phản ánh rằng Blast chưa được thị trường tin tưởng hoàn toàn hiện nay.

Kể từ khi người sáng lập Blur Pacman công bố ra mắt Blast vào ngày 21 tháng 11, TVL của Blast đã đạt 640 triệu đô la trong 10 ngày tính đến ngày 1 tháng 12.

Tuy nhiên, dữ liệu TVL tăng vọt nhanh chóng đã dẫn đến một cuộc thảo luận lớn trên thị trường về rủi ro bảo mật của nó và các kỹ sư Polygon đã thẳng thừng nói rằng “đây không phải là L2”, ông nói rằng Blast chỉ là một hợp đồng thông minh với hai chức năng: 1. Chấp nhận tiền của người dùng. 2. Đầu tư tiền của người dùng vào các giao thức như Lido. Không có testnet, không có giao dịch, không có cầu nối, không có bản tổng hợp và không có dữ liệu giao dịch nào được gửi đến Ethereum.

Sau đó, Blast đã đưa ra một tuyên bố để trả lời các câu hỏi bảo mật, nói rằng một trong những địa chỉ đa chữ ký sẽ được cập nhật trong vòng một tuần và nói rằng hợp đồng được thiết lập vì lý do bảo mật.

Quan điểm của Blast là “miễn là bản thân dự án không xấu, không có khóa thời gian và các hợp đồng thông minh có thể được nâng cấp, đó là một lựa chọn an toàn hơn.” Nhưng người dùng có sẵn sàng tin tưởng Last không?