Blast主网上线在即,技术层面解析其存在的安全隐患与潜在机会
近期,Blast再次成为市场的“香饽饽”,随着其“Big Bang”开发者竞赛的结束,其TVL更是不断飙升,一举超过20亿美元,在Layer2赛道上占据着一席之地。
同时,Blast也宣布将在2月29日上线其主网,导致大众对其持续关注,毕竟“空投预期”已经成功吸引大部分参与者围观。但是随着其生态发展,各种项目层出不穷,同样也导致各类安全风险频发。今天Beosin将为大家解读打出强劲开局的Blast,TVL飙升背后的安全风险与潜在机会。
Blast发展历程
Blast 由 Blur 创始人 Pacman 于2023年 11 月 21 日推出,很快就在加密社区中得到广泛关注。推出后 48 小时内,该网络的锁定总价值(TVL)达到 5.7 亿美元,并吸引了超过 50,000名用户。
Blast 去年获得了 Paradigm 和 Standard Crypto 等主要支持者提供的 2000万美元融资,紧接着去年11月,Blast 再次获得日本加密货币投资公司 CGV 的 500万美元投资。
2月25日消息,DeBank数据显示,Blast合约地址当前持有资产总价值超20亿美元,其中价值18亿美元ETH存入Lido协议,超过1.6亿美元DAI存入MakerDAO协议,可见其在市场上的火热。
DeBank数据
为什么Blast这么火?
Blast 的独特之处在于提供 ETH 和稳定币的原生收益率,这是其它 Layer2 解决方案所不具备的特点。用户将ETH转移至其它 Layer2 时,这些 Layer2 只会将 ETH 锁入智能合约,并映射对应的 Layer2 ETH;而 Blast 会将用户的 ETH 存入 Lido 生息,并引入新的生息稳定币 USDB(该稳定币将通过 MakerDAO 购买美国国债获得收益)到 Blast 网络。
此外,作为 Blur 团队推出的 Layer2,其本身自带流量。此前 Blur 发放超过2亿美元的空投给到其平台的用户,已经有广泛的社区基础,加上目前 Blast 进行空投激励,通过流量裂变的营销方式吸引用户参与到 Blast 质押。
Blast 安全风险
Blast 自推出后就受到批评和质疑。2023年 11 月 23 日,Polygon Labs 的开发者关系工程师 Jarrod Watts 发推表示 Blast 的中心化可能会给用户带来严重的安全风险。同时,他还质疑 Blast 将其归类为第 2 层(L2)网络,因为 Blast 不符合 L2 标准,缺乏交易、桥接、Rollup或向以太坊发送交易数据等功能。
Blast 的安全性究竟如何?存在哪些安全风险?本次我们通过BeosinVaaS工具扫描 Blast Deposit 合约,结合 Beosin 安全专家的分析,对 Blast Deposit 合约代码进行解读。
BeosinVaaS
Blast Deposit 合约为可升级合约,其代理合约地址为0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47d,目前其逻辑合约地址为0x0bD88b59D580549285f0A207Db5F06bf24a8e561,主要风险点如下:
1. 中心化风险
Blast Deposit 合约最为重要的enableTransition函数,只有合约的 admin 地址能够调用。此外该函数以mainnetBridge合约地址作为参数,而mainnetBridge合约可以访问所有质押的 ETH 和 DAI。
function enableTransition(address mainnetBridge) external onlyOwner { if (isTransitionEnabled) { revert TransitionIsEnabled(); }
_pause(); _setMainnetBridge(mainnetBridge); isTransitionEnabled = true;
LIDO.approve(mainnetBridge, type(uint256).max); DAI.approve(mainnetBridge, type(uint256).max);}
code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F1#L230
此外,Blast Deposit 合约可以随时通过upgradeTo函数进行升级。这主要是用于修复合约漏洞,但也存在作恶的可能。目前Polygon zkEVM在升级合约这方面做得相对完善,非紧急情况下修改合约一般需要10天的延迟,并且修改合约需要由13人组成的协议理事会决定。
function upgradeTo(address newImplementation) public virtual onlyProxy { _authorizeUpgrade(newImplementation); _upgradeToAndCallUUPS(newImplementation, new bytes(0), false); }
code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F2#L78
2. 多签争议
查看 Blast Deposit 合约可知,其合约的权限由一个Gnosis Safe的3/5多签钱包0x67CA7Ca75b69711cfd48B44eC3F64E469BaF608C所控制。这5个签名地址为:
0x49d495DE356259458120bfd7bCB463CFb6D6c6BA
0xb7c719eB2649c1F03bFab68b0AAa35AD538a7cC8
0x1f97306039530ADB4173C3786e86fab5e6b90F41
0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11
0x46e31F27Df5047D7Fad9b1E8DFFec635cF6efAcF
这5个地址皆为3个月前创建的新地址,身份未知。由于整个合约实际是通过多签钱包保护的托管合约,并非Rollup桥,Blast受到了许多来自社区和开发者的质疑。
Blast 承认了这一系列安全风险,并表示虽然不可变的智能合约被认为是安全的,但它们可能隐藏着未检测到的漏洞。而可升级的智能合约也会带来自身的风险,例如合约升级和容易被利用的时间锁。为了减轻这些风险,Blast 会使用多种硬件钱包进行管理,避免中心化风险。
不过钱包的管理是否能避免中心化和钓鱼攻击,是否有完善的管理流程,这是 Blast 暂未公布的。此前 Ronin Bridge、Multichain两起安全事件中,项目方虽然都使用了多签钱包或是MPC钱包,却因为私钥管理的中心化导致了用户的资产损失。
在2月19日,Blast 团队对 Deposit 合约进行了一次更新。这次更新主要添加了Predeploys合约和引入了IERC20Permit接口,为主网上线做准备。
Blast生态风险
2月25日,Beosin KYT反洗钱分析平台监测到Blast生态GambleFi项目Risk(@riskonblast)疑似发生RugRull,受损失金额约500枚ETH。目前其官方X账号已显示不存在。
MoonCat2878 等投资者也分享了他们的个人损失。MoonCat2878 讲述了在看到来自 Blast 生态系统内信誉良好的项目和合作伙伴后,他们最初将 RiskOnBlast 视为一个有前途的投资机会。然而,随后的公开发售变成了一轮无上限的融资,这引起了他们对Risk这个GameFi项目的怀疑。
Beosin Trace监测显示,目前Blast生态游戏Risk项目的被盗资金大部分已转移至不同的交易所,一小部分被盗资金已跨链至Arbitrum和Cosmos。
