Blast 的獨特之處在於提供 ETH 和穩定幣的原生收益率,這是其它 Layer2 解決方案所不具備的特點。
封面:Blast
近期,Blast 再次成為市場的「香餑餑」,隨著其「Big Bang」開發者競賽的結束,其 TVL 更是不斷飆升,一舉超過 20 億美元,在 Layer2 賽道上佔據著一席之地。
同時,Blast 也宣佈將在 2 月 29 日上線其主網,導致大眾對其持續關注,畢竟 “空投預期” 已經成功吸引大部分參與者圍觀。 但是隨著其生態發展,各種專案層出不窮,同樣也導致各類安全風險頻發。 今天 Beosin 將為大家解讀打出強勁開局的 Blast,TVL 飆升背後的安全風險與潛在機會。
Blast 發展歷程
Blast 由 Blur 創始人 Pacman 於 2023 年 11 月 21 日推出,很快就在加密社區中得到廣泛關注。 推出後 48 小時內,該網路的鎖定總價值(TVL)達到 5.7 億美元,並吸引了超過 50,000 名使用者。
Blast 去年獲得了 Paradigm 和 Standard Crypto 等主要支援者提供的 2000 萬美元融資,緊接著去年 11 月,Blast 再次獲得日本加密貨幣投資公司 CGV 的 500 萬美元投資。
2 月 25 日消息,DeBank 數據顯示,Blast 合約地址當前持有資產總價值超 20 億美元,其中價值 18 億美元 ETH 存入 Lido 協定,超過 1.6 億美元 DAI 存入 MakerDAO 協定,可見其在市場上的火熱。
為什麼 Blast 這麼火?
Blast 的獨特之處在於提供 ETH 和穩定幣的原生收益率,這是其它 Layer2 解決方案所不具備的特點。 使用者將 ETH 轉移至其它 Layer2 時,這些 Layer2 只會將 ETH 鎖入智慧合約,並映射對應的 Layer2 ETH; 而 Blast 會將使用者的 ETH 存入 Lido 生息,並引入新的生息穩定幣 USDB(該穩定幣將通過 MakerDAO 購買美國國債獲得收益)到 Blast 網路。
此外,作为 Blur 团队推出的 Layer2,其本身自带流量。此前 Blur 发放超过 2 亿美元的空投给到其平台的用户,已经有广泛的社区基础,加上目前 Blast 进行空投激励,通过流量裂变的营销方式吸引用户参与到 Blast 质押。
Blast 安全风险
Blast 自推出后就受到批评和质疑。2023 年 11 月 23 日,Polygon Labs 的开发者关系工程师 Jarrod Watts 发推表示 Blast 的中心化可能会给用户带来严重的安全风险。同时,他还质疑 Blast 将其归类为第 2 层 (L2) 网络,因为 Blast 不符合 L2 标准,缺乏交易、桥接、Rollup 或向以太坊发送交易数据等功能。
Blast 的安全性究竟如何?存在哪些安全风险?本次我们通过 Beosin VaaS 工具扫描 Blast Deposit 合约,结合 Beosin 安全专家的分析,对 Blast Deposit 合约代码进行解读。
Blast Deposit 合约为可升级合约,其代理合约地址为
0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47d,
目前其逻辑合约地址为
0x0bD88b59D580549285f0A207Db5F06bf24a8e561,
主要风险点如下:
1. 中心化风险
Blast Deposit 合約最為重要的 enableTransition 函數,只有合約的 admin 位址能夠調用。 此外該函數以 mainnetBridge 合約地址作為參數,而 mainnetBridge 合約可以訪問所有質押的 ETH 和 DAI。
function enableTransition(address mainnetBridge) external onlyOwner { if (isTransitionEnabled) { revert TransitionIsEnabled(); }
_pause(); _setMainnetBridge(mainnetBridge); isTransitionEnabled = true;
LIDO.approve(mainnetBridge, type(uint256).max); DAI.approve(mainnetBridge, type(uint256).max); }code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F1#L230
此外,Blast Deposit 合約可以隨時通過 upgradeTo 函數進行升級。 這主要是用於修復合約漏洞,但也存在作惡的可能。 目前 Polygon zkEVM 在升級合約這方面做得相對完善,非緊急情況下修改合約一般需要 10 天的延遲,並且修改合約需要由 13 人組成的協定理事會決定。
function upgradeTo(address newImplementation) public virtual onlyProxy { _authorizeUpgrade(newImplementation); _upgradeToAndCallUUPS(newImplementation, new bytes(0), false); }code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F2#L78
2. 多簽爭議
查看 Blast Deposit 合约可知,其合约的权限由一个 Gnosis Safe 的 3/5 多签钱包 0x67CA7Ca75b69711cfd48B44eC3F64E469BaF608C 所控制。这 5 个签名地址为:
0x49d495DE356259458120bfd7bCB463CFb6D6c6BA
0xb7c719eB2649c1F03bFab68b0AAa35AD538a7cC8
0x1f97306039530ADB4173C3786e86fab5e6b90F41
0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11
0x46e31F27Df5047D7Fad9b1E8DFFec635cF6efAcF
這 5 個位址皆為 3 個月前創建的新位址,身份未知。 由於整個合約實際是通過多簽錢包保護的託管合約,並非 Rollup 橋,Blast 受到了許多來自社區和開發者的質疑。
Blast 承認了這一系列安全風險,並表示雖然不可變的智慧合約被認為是安全的,但它們可能隱藏著未檢測到的漏洞。 而可升級的智能合約也會帶來自身的風險,例如合約升級和容易被利用的時間鎖。 為了減輕這些風險,Blast 會使用多種硬體錢包進行管理,避免中心化風險。
不過錢包的管理是否能避免中心化和釣魚攻擊,是否有完善的管理流程,這是 Blast 暫未公佈的。 此前 Ronin Bridge、Multichain 兩起安全事件中,專案方雖然都使用了多簽錢包或是 MPC 錢包,卻因為私鑰管理的中心化導致了使用者的資產損失。
在 2 月 19 日,Blast 團隊對 Deposit 合約進行了一次更新。 這次更新主要添加了 Predeploys 合約和引入了 IERC20Permit 介面,為主網上線做準備。
Blast 生態風險
2 月 25 日,Beosin KYT 反洗錢分析平台監測到 Blast 生態 GambleFi 專案 Risk(@riskonblast)疑似發生 RugRull,受損失金額約 500 枚 ETH。 目前其官方 X 帳號已顯示不存在。
MoonCat2878 等投資者也分享了他們的個人損失。 MoonCat2878 講述了在看到來自 Blast 生態系統內信譽良好的項目和合作夥伴後,他們最初將 RiskOnBlast 視為一個有前途的投資機會。 然而,隨後的公開發售變成了一輪無上限的融資,這引起了他們對 Risk 這個 GameFi 項目的懷疑。
Beosin Trace 監測顯示,目前 Blast 生態遊戲 Risk 專案的被盜資金大部分已轉移至不同的交易所,一小部分被盜資金已跨鏈至 Arbitrum 和 Cosmos。
Beosin 已推出針對 Blast 生態的審計方案
1 月 17 日,Blast 宣佈推出其測試網和 “Big Bang” 競賽,以吸引開發者開始在 Blast 上進行開發。 將 Blast 應用程式投入競賽的開發者將有機會在即將到來的空投中獲得代幣獎勵,獲勝的應用程式將在 2 月底上線時晉陞到主網。
2 月 24 日,Blast 官方也公佈了 Big Bang 活動選出的項目名單,這份名單中包含的專案多達一百多個,包含借貸、遊戲和基礎設施類等專案。 目前,Beosin 已經推出了專門針對 Blast 生態的審計方案,通過形式化驗證和安全專家審計,協助專案方修復專案中的安全風險,保障使用者與專案方的資產安全。 其主要安全審計項包括:
•溢出漏洞
•重入攻擊
•隨機數問題
•拒絕服務
•訪問控制
•許可權不當
•變數覆蓋
• 業務設計
•業務實現
•套利攻擊
•交易順序
•Gas 優化
•升級安全
•中心化風險
•第三方模組安全
通過 Beosin 的審計方案,Blast 生態專案可以識別和修復潛在的漏洞和安全風險,確保其智慧合約和系統的穩定性和安全性。 這不僅保護了用戶的資產,也為使用者提供了更可靠的使用體驗,進一步推動 Blast 生態系統的安全發展。 歡迎 Blast 生態項目團隊前來諮詢。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
