Blast 上發生三明治攻擊

12 月 1 日凌晨，一位交易員在社交媒體上稱 Blast 的 USDT 存款的滑點限額默認設置為 10%。某位用戶發起一筆交易後，這筆交易被 Curve 3pool 中一筆價值 7000 萬美元的 DAI 交易夾擊。一個小時內，攻擊者奪取了超過 10 萬美元。

隨後，Blast 在其社交平台發布了關於這次三明治攻擊的補償方案。Blast 稱當用戶存入 USDT 時，Blast Bridge 會在存款交易中轉換為 DAI。而 UI 上的滑點參數配置錯誤導致一位用戶在 2 筆交易中收到的 DAI 比其應有的少 10 萬枚。Blast 表示該配置錯誤已解決，並將向受影響的用戶發送因滑點損失的金額和額外 10% 的獎金，總計 11 萬枚 USDT。

Blast 補充道，查詢歷史交易後，確認只有一位用戶的交易受到影響。

社區仍擔心 Blast 的安全問題

從交易員稱可能發生攻擊到 Blast 給出解決方案之間，僅用了十分鐘左右。但社區仍擔心 Blast 的安全問題，認為其並不是和以太坊對其的 L2。更有社區用戶直言讓 Blast「停止將其稱為橋」。

在 Blast 官方推文的評論區也有用戶稱無法理解「錯誤計算的滑點參數」如何導致 20 萬美元的 USDT 兌換成 10 萬美元的 DAI。他認為就算出於某種瘋狂的原因將滑點設置為 50%，也不理解 MEV 如何允許這種交易發生。

由於官方並沒有公布原始交易金額，我們無從猜測 Blast 的處理方式是否合理，但社區用戶的擔憂也反映出 Blast 如今並沒有完全得到市場信任。

自 11 月 21 日 Blur 創始人 Pacman 宣布新啟動項目 Blast 以來，截至 12 月 1 日數據，十天時間 Blast 的 TVL 便來到了 6.4 億美元。

但快速飆升的 TVL 數據引得市場對於其安全隱患的大討論，Polygon 工程師更是直言「這不是 L2」，他稱 Blast 只是一個具有兩個功能的智能合約： 1、接受用戶的資金。2、將用戶的資金投入 Lido 等協議中。沒有測試網，沒有交易，沒有橋，沒有 Rollup，也沒有向以太坊發送交易數據。

隨後 Blast 發布聲明回應安全性質疑，稱將在一周內更新其中一個多簽地址，並表示合約設定是出於安全性考慮。

Blast 秉持的觀點是「只要項目本身不存在作惡，沒有時間鎖、智能合約可升級就是更安全的選擇。」但用戶願意選擇相信 Blast 嗎？

原文連結