來源:Beosin
近期,Blast再次成為市場的“香餑餑”����,隨著其“Big Bang”開發(fā)者競賽的結束,其TVL更是不斷飆升���,一舉超過20億美元,在Layer2賽道上占據著一席之地�����。
同時���,Blast也宣布將在2月29日上線其主網��,導致大眾對其持續(xù)關注���,畢竟“空投預期”已經成功吸引大部分參與者圍觀��。但是隨著其生態(tài)發(fā)展,各種項目層出不窮���,同樣也導致各類安全風險頻發(fā)。今天Beosin將為大家解讀打出強勁開局的Blast���,TVL飆升背后的安全風險與潛在機會�。
Blast發(fā)展歷程
Blast 由 Blur 創(chuàng)始人 Pacman 于2023年 11 月 21 日推出,很快就在加密社區(qū)中得到廣泛關注��。推出后 48 小時內,該網絡的鎖定總價值(TVL)達到 5.7 億美元,并吸引了超過 50,000名用戶����。
Blast 去年獲得了 Paradigm 和 Standard Crypto 等主要支持者提供的 2000萬美元融資,緊接著去年11月�����,Blast 再次獲得日本加密貨幣投資公司 CGV 的 500萬美元投資���。
2月25日消息,DeBank數據顯示��,Blast合約地址當前持有資產總價值超20億美元,其中價值18億美元ETH存入Lido協(xié)議�����,超過1.6億美元DAI存入MakerDAO協(xié)議���,可見其在市場上的火熱�����。
DeBank數據
為什么Blast這么火�?
Blast 的獨特之處在于提供 ETH 和穩(wěn)定幣的原生收益率�����,這是其它 Layer2 解決方案所不具備的特點。用戶將ETH轉移至其它 Layer2 時�,這些 Layer2 只會將 ETH 鎖入智能合約�����,并映射對應的 Layer2 ETH�����;而 Blast 會將用戶的 ETH 存入 Lido 生息���,并引入新的生息穩(wěn)定幣 USDB(該穩(wěn)定幣將通過 MakerDAO 購買美國國債獲得收益)到 Blast 網絡。
此外,作為 Blur 團隊推出的 Layer2,其本身自帶流量���。此前 Blur 發(fā)放超過2億美元的空投給到其平臺的用戶���,已經有廣泛的社區(qū)基礎,加上目前 Blast 進行空投激勵,通過流量裂變的營銷方式吸引用戶參與到 Blast 質押。
Blast 安全風險
Blast 自推出后就受到批評和質疑。2023年 11 月 23 日,Polygon Labs 的開發(fā)者關系工程師 Jarrod Watts 發(fā)推表示 Blast 的中心化可能會給用戶帶來嚴重的安全風險����。同時�����,他還質疑 Blast 將其歸類為第 2 層(L2)網絡���,因為 Blast 不符合 L2 標準,缺乏交易、橋接��、Rollup或向以太坊發(fā)送交易數據等功能�。
Blast 的安全性究竟如何��?存在哪些安全風險��?本次我們通過BeosinVaaS工具掃描 Blast Deposit 合約,結合 Beosin 安全專家的分析��,對 Blast Deposit 合約代碼進行解讀����。
BeosinVaaS
Blast Deposit 合約為可升級合約,其代理合約地址為0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47d,目前其邏輯合約地址為0x0bD88b59D580549285f0A207Db5F06bf24a8e561��,主要風險點如下:
1. 中心化風險
Blast Deposit 合約最為重要的enableTransition函數�,只有合約的 admin 地址能夠調用。此外該函數以mainnetBridge合約地址作為參數����,而mainnetBridge合約可以訪問所有質押的 ETH 和 DAI。
code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F1#L230
此外,Blast Deposit 合約可以隨時通過upgradeTo函數進行升級�。這主要是用于修復合約漏洞,但也存在作惡的可能��。目前Polygon zkEVM在升級合約這方面做得相對完善�����,非緊急情況下修改合約一般需要10天的延遲����,并且修改合約需要由13人組成的協(xié)議理事會決定。
code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F2#L78
2. 多簽爭議
查看 Blast Deposit 合約可知��,其合約的權限由一個Gnosis Safe的3/5多簽錢包0x67CA7Ca75b69711cfd48B44eC3F64E469BaF608C所控制����。這5個簽名地址為:
0x49d495DE356259458120bfd7bCB463CFb6D6c6BA
0xb7c719eB2649c1F03bFab68b0AAa35AD538a7cC8
0x1f97306039530ADB4173C3786e86fab5e6b90F41
0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11
0x46e31F27Df5047D7Fad9b1E8DFFec635cF6efAcF
這5個地址皆為3個月前創(chuàng)建的新地址,身份未知��。由于整個合約實際是通過多簽錢包保護的托管合約�����,并非Rollup橋�,Blast受到了許多來自社區(qū)和開發(fā)者的質疑。
Blast 承認了這一系列安全風險���,并表示雖然不可變的智能合約被認為是安全的���,但它們可能隱藏著未檢測到的漏洞。而可升級的智能合約也會帶來自身的風險�����,例如合約升級和容易被利用的時間鎖����。為了減輕這些風險,Blast 會使用多種硬件錢包進行管理�,避免中心化風險。
不過錢包的管理是否能避免中心化和釣魚攻擊���,是否有完善的管理流程��,這是 Blast 暫未公布的���。此前 Ronin Bridge、Multichain兩起安全事件中�����,項目方雖然都使用了多簽錢包或是MPC錢包,卻因為私鑰管理的中心化導致了用戶的資產損失�����。
在2月19日�,Blast 團隊對 Deposit 合約進行了一次更新。這次更新主要添加了Predeploys合約和引入了IERC20Permit接口�����,為主網上線做準備�����。
Blast生態(tài)風險
2月25日����,Beosin KYT反洗錢分析平臺監(jiān)測到Blast生態(tài)GambleFi項目Risk(@riskonblast)疑似發(fā)生RugRull,受損失金額約500枚ETH���。目前其官方X賬號已顯示不存在�。
MoonCat2878 等投資者也分享了他們的個人損失���。MoonCat2878 講述了在看到來自 Blast 生態(tài)系統(tǒng)內信譽良好的項目和合作伙伴后�,他們最初將 RiskOnBlast 視為一個有前途的投資機會�。然而,隨后的公開發(fā)售變成了一輪無上限的融資�����,這引起了他們對Risk這個GameFi項目的懷疑�����。
Beosin Trace監(jiān)測顯示�,目前Blast生態(tài)游戲Risk項目的被盜資金大部分已轉移至不同的交易所,一小部分被盜資金已跨鏈至Arbitrum和Cosmos��。
