來源:Beosin
近期,Blast再次成爲市場的“香餑餑”,隨着其“Big Bang”开發者競賽的結束,其TVL更是不斷飆升,一舉超過20億美元,在Layer2賽道上佔據着一席之地。
同時,Blast也宣布將在2月29日上线其主網,導致大衆對其持續關注,畢竟“空投預期”已經成功吸引大部分參與者圍觀。但是隨着其生態發展,各種項目層出不窮,同樣也導致各類安全風險頻發。今天Beosin將爲大家解讀打出強勁开局的Blast,TVL飆升背後的安全風險與潛在機會。
Blast 由 Blur 創始人 Pacman 於2023年 11 月 21 日推出,很快就在加密社區中得到廣泛關注。推出後 48 小時內,該網絡的鎖定總價值 (TVL) 達到 5.7 億美元,並吸引了超過 50,000 名用戶。
Blast 去年獲得了 Paradigm 和 Standard Crypto 等主要支持者提供的 2000 萬美元融資,緊接着去年11月,Blast 再次獲得日本加密貨幣投資公司 CGV 的 500 萬美元投資。
2月25日消息,DeBank數據顯示,Blast合約地址當前持有資產總價值超20億美元,其中價值18億美元ETH存入Lido協議,超過1.6億美元DAI存入MakerDAO協議,可見其在市場上的火熱。
DeBank數據
Blast 的獨特之處在於提供 ETH 和穩定幣的原生收益率,這是其它 Layer2 解決方案所不具備的特點。用戶將ETH轉移至其它 Layer2 時,這些 Layer2 只會將 ETH 鎖入智能合約,並映射對應的 Layer2 ETH;而 Blast 會將用戶的 ETH 存入 Lido 生息,並引入新的生息穩定幣 USDB(該穩定幣將通過 MakerDAO 購买美國國債獲得收益)到 Blast 網絡。
此外,作爲 Blur 團隊推出的 Layer2,其本身自帶流量。此前 Blur 發放超過2億美元的空投給到其平台的用戶,已經有廣泛的社區基礎,加上目前 Blast 進行空投激勵,通過流量裂變的營銷方式吸引用戶參與到 Blast 質押。
Blast 自推出後就受到批評和質疑。2023年 11 月 23 日,Polygon Labs 的开發者關系工程師 Jarrod Watts 發推表示 Blast 的中心化可能會給用戶帶來嚴重的安全風險。同時,他還質疑 Blast 將其歸類爲第 2 層 (L2) 網絡,因爲 Blast 不符合 L2 標准,缺乏交易、橋接、Rollup或向以太坊發送交易數據等功能。
Blast 的安全性究竟如何?存在哪些安全風險?本次我們通過Beosin VaaS工具掃描 Blast Deposit 合約,結合 Beosin 安全專家的分析,對 Blast Deposit 合約代碼進行解讀。
Beosin VaaS
Blast Deposit 合約爲可升級合約,其代理合約地址爲0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47d,目前其邏輯合約地址爲0x0bD88b59D580549285f0A207Db5F06bf24a8e561,主要風險點如下:
Blast Deposit 合約最爲重要的enableTransition函數,只有合約的 admin 地址能夠調用。此外該函數以mainnetBridge合約地址作爲參數,而mainnetBridge合約可以訪問所有質押的 ETH 和 DAI。
code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F1#L230
此外,Blast Deposit 合約可以隨時通過upgradeTo函數進行升級。這主要是用於修復合約漏洞,但也存在作惡的可能。目前Polygon zkEVM在升級合約這方面做得相對完善,非緊急情況下修改合約一般需要10天的延遲,並且修改合約需要由13人組成的協議理事會決定。
code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F2#L78
查看 Blast Deposit 合約可知,其合約的權限由一個Gnosis Safe的3/5多籤錢包0x67CA7Ca75b69711cfd48B44eC3F64E469BaF608C所控制。這5個籤名地址爲:
0x49d495DE356259458120bfd7bCB463CFb6D6c6BA
0xb7c719eB2649c1F03bFab68b0AAa35AD538a7cC8
0x1f97306039530ADB4173C3786e86fab5e6b90F41
0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11
0x46e31F27Df5047D7Fad9b1E8DFFec635cF6efAcF
這5個地址皆爲3個月前創建的新地址,身份未知。由於整個合約實際是通過多籤錢包保護的托管合約,並非Rollup橋,Blast受到了許多來自社區和开發者的質疑。
Blast 承認了這一系列安全風險,並表示雖然不可變的智能合約被認爲是安全的,但它們可能隱藏着未檢測到的漏洞。而可升級的智能合約也會帶來自身的風險,例如合約升級和容易被利用的時間鎖。爲了減輕這些風險,Blast 會使用多種硬件錢包進行管理,避免中心化風險。
不過錢包的管理是否能避免中心化和釣魚攻擊,是否有完善的管理流程,這是 Blast 暫未公布的。此前 Ronin Bridge、Multichain兩起安全事件中,項目方雖然都使用了多籤錢包或是MPC錢包,卻因爲私鑰管理的中心化導致了用戶的資產損失。
在2月19日,Blast 團隊對 Deposit 合約進行了一次更新。這次更新主要添加了Predeploys合約和引入了IERC20Permit接口,爲主網上线做准備。
2月25日,Beosin KYT反洗錢分析平台監測到Blast生態GambleFi項目Risk(@riskonblast)疑似發生RugRull,受損失金額約500枚ETH。目前其官方X账號已顯示不存在。
MoonCat2878 等投資者也分享了他們的個人損失。MoonCat2878 講述了在看到來自 Blast 生態系統內信譽良好的項目和合作夥伴後,他們最初將 RiskOnBlast 視爲一個有前途的投資機會。然而,隨後的公开發售變成了一輪無上限的融資,這引起了他們對Risk這個GameFi項目的懷疑。
Beosin Trace監測顯示,目前Blast生態遊戲Risk項目的被盜資金大部分已轉移至不同的交易所,一小部分被盜資金已跨鏈至Arbitrum和Cosmos。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
標題:Blast主網即將上线 解析其安全風險與潛在機會
地址:https://www.torrentbusiness.com/article/93740.html
標籤:Blast