Le réseau principal Blast est sur le point d'être lancé, et ses risques de sécurité et ses opportunités potentielles sont analysés d'un point de vue technique

L'éditeur PHP Xinyi a récemment découvert que le réseau principal Blast était sur le point d'être lancé, ce qui a attiré une large attention. Cependant, les risques de sécurité qui en découlent ont également attiré beaucoup d’attention et il est nécessaire que nous procédions à une analyse approfondie de ses aspects techniques. Dans le même temps, les opportunités potentielles ne peuvent être ignorées. Explorons les défis et les opportunités dans ce domaine émergent.

Récemment, Blast est redevenu un produit phare sur le marché. Avec la fin de son concours de développeurs « Big Bang », sa TVL a continué de monter en flèche, dépassant les 2 milliards de dollars d'un seul coup, occupant une place sur la Layer. 2 pistes.

Dans le même temps, Blast a également annoncé qu'il lancerait son réseau principal le 29 février, ce qui incitera le public à continuer d'y prêter attention. Après tout, "l'anticipation du largage" a réussi à attirer la plupart des participants. Cependant, avec le développement de son écologie, divers projets émergent les uns après les autres, ce qui conduit également à l'apparition fréquente de divers risques de sécurité. Aujourd’hui, Beosin vous expliquera les risques de sécurité et les opportunités potentielles derrière le bon départ de Blast et la montée en puissance de TVL.

Historique du développement de Blast

Blast est un nouveau projet lancé par le fondateur de Blur, Pacman, le 21 novembre 2023, qui a rapidement attiré l'attention de la communauté du chiffrement. En seulement 48 heures après son lancement, le réseau a atteint une valeur totale verrouillée (TVL) de 570 millions de dollars et a attiré plus de 50 000 utilisateurs.

Blast a reçu 20 millions de dollars de financement de la part de bailleurs de fonds majeurs tels que Paradigm et Standard Crypto l'année dernière, suivi d'un autre investissement de 5 millions de dollars de la société japonaise d'investissement en crypto-monnaie CGV en novembre de l'année dernière.

Selon les données de DeBank, au 25 février, la valeur totale des actifs à l'adresse du contrat Blast dépassait 2 milliards de dollars américains, dont environ 1,8 milliard de dollars américains d'ETH sont déposés dans le protocole du Lido, et plus de 160 millions de dollars américains de DAI est déposé dans le protocole MakerDAO. Cela montre que Blast est extrêmement actif sur le marché.

DeBank数据

Pourquoi Blast est-il si populaire ?

Blast est unique en ce qu'il fournit des rendements natifs sur l'ETH et les pièces stables, une fonctionnalité que l'on ne trouve pas dans les autres solutions Layer2. Lorsque les utilisateurs transfèrent l'ETH vers un autre Layer2, ces Layer2 verrouilleront uniquement l'ETH dans le contrat intelligent et mapperont l'ETH Layer2 correspondant tandis que Blast déposera l'ETH de l'utilisateur dans Lido pour gagner des intérêts et introduira une nouvelle devise stable portant intérêt USDB ( la monnaie stable La monnaie sera utilisée pour acheter des bons du Trésor américain via MakerDAO (le produit sera gagné) sur le réseau Blast.

Layer2 lancé par l'équipe Blur présente des avantages de trafic uniques. Blur a déjà distribué plus de 200 millions de dollars en parachutages aux utilisateurs de sa plate-forme, il dispose donc d'une large base communautaire. Dans le même temps, Blast incite les utilisateurs à participer au jalonnement via des récompenses de parachutage et à utiliser des stratégies de marketing par fission du trafic pour attirer davantage d'utilisateurs à rejoindre Blast. Cette méthode consistant à combiner organiquement le trafic et les incitations au largage contribue à attirer davantage d'utilisateurs et fournit une base d'utilisateurs stable pour le développement de Blast.

Risques de sécurité de Blast

Blast a été critiqué et remis en question depuis son lancement. Le 23 novembre 2023, Jarrod Watts, ingénieur en relations avec les développeurs chez Polygon Labs, a tweeté que la centralisation de Blast pourrait présenter de sérieux risques de sécurité pour les utilisateurs. Dans le même temps, il a également remis en question la classification de Blast en tant que réseau de couche 2 (L2), car Blast ne répond pas à la norme L2 et manque de fonctions telles que les transactions, le pontage, le cumul ou l'envoi de données de transaction à Ethereum.

Dans quelle mesure Blast est-il sûr ? Quels sont les risques de sécurité ? Cette fois, nous avons utilisé l'outil BeosinVaaS pour scanner le contrat de Blast Deposit et l'avons combiné avec l'analyse des experts en sécurité de Beosin pour interpréter le code du contrat de Blast Deposit.

BeosinVaaS

Le contrat Blast Deposit est un contrat évolutif, son adresse de contrat proxy est 0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47d et son adresse de contrat logique actuelle est 0x0bD88b59D580549285f0A207Db5F06bf2 4a8 e561, les principaux points de risque sont les suivants :

1 Risque de centralisation

Le plus important. EnableTransition de la fonction du contrat Blast Deposit, seule l'adresse administrateur du contrat peut être appelée. De plus, cette fonction prend l'adresse du contrat mainnetBridge comme paramètre, et le contrat mainnetBridge peut accéder à tous les ETH et DAI promis.

function activateTransition(adresse mainnetBridge) external onlyOwner { if (isTransitionEnabled) { revert TransitionIsEnabled(); }

_pause(); _setMainnetBridge(mainnetBridge); isTransitionEnabled = true;

LIDO.approve(mainnetBridge, type(uint256). max); DAI.approve(mainnetBridge, type(uint256).max);}

code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F1#L230

De plus, le contrat de dépôt Blast peut être mis à niveau à tout moment via la fonction UpgradeTo pour mettre à niveau. Ceci est principalement utilisé pour corriger les vulnérabilités des contrats, mais il existe également la possibilité de faire le mal. À l'heure actuelle, Polygon zkEVM a accompli un travail relativement complet de mise à niveau du contrat. La modification du contrat dans des situations non urgentes nécessite généralement un délai de 10 jours, et les modifications du contrat doivent être décidées par le Conseil d'accord composé de 13 membres.

function updateTo(address newImplementation) public virtual onlyProxy { _authorizeUpgrade(newImplementation); _upgradeToAndCallUUPS(newImplementation, new bytes(0), false }

code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf 24a8); e561#code#F2 # L78

2. Litige multi-signature

En regardant le contrat Blast Deposit, nous pouvons voir que les autorisations du contrat sont contrôlées par un portefeuille multi-signature Gnosis Safe 3/5 0x67CA7Ca75b69711cfd48B44eC3F64E469BaF608C. Ces 5 adresses signatures sont :

0x49d495DE356259458120bfd7bCB463CFb6D6c6BA

0xb7c719eB2649c1F03bFab68b0AAa35AD538a7cC8

0x1f97306039530 ADB4173C3786e86fab5e6b90F41

0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11

0x46e31F27Df5047D7Fad9b1E8DFFec635cF6efAcF

Ces 5 adresses sont toutes de nouvelles adresses créées il y a 3 mois, et leurs identités sont inconnues. Étant donné que l'intégralité du contrat est en fait un contrat séquestre protégé par un portefeuille multi-signature et non par un pont Rollup, Blast a été remis en question par de nombreux membres de la communauté et des développeurs.

Blast a reconnu cet ensemble de risques de sécurité et a déclaré que même si les contrats intelligents immuables sont considérés comme sécurisés, ils peuvent cacher des vulnérabilités non détectées. Les contrats intelligents évolutifs comportent également leurs propres risques, tels que des mises à niveau de contrat et des délais facilement exploitables. Afin d'atténuer ces risques, Blast utilisera une variété de portefeuilles matériels pour la gestion afin d'éviter les risques de centralisation.

Cependant, Blast n'a pas encore annoncé si la gestion du portefeuille peut éviter la centralisation et les attaques de phishing, et s'il existe un processus de gestion complet. Lors des deux précédents incidents de sécurité de Ronin Bridge et Multichain, bien que les parties au projet aient utilisé des portefeuilles multi-signatures ou des portefeuilles MPC, la centralisation de la gestion des clés privées a entraîné des pertes d'actifs pour les utilisateurs.

Le 19 février, l'équipe Blast a fait une mise à jour du contrat de dépôt. Cette mise à jour ajoute principalement le contrat Predeploys et introduit l'interface IERC20Permit pour préparer le lancement du réseau principal.

Blast Ecological Risk

Le 25 février, la plateforme d'analyse anti-blanchiment d'argent Beosin KYT a détecté que le projet écologique Blast GambleFi Risk (@riskonblast) était soupçonné d'avoir un RugRull, et le montant de la perte était d'environ 500 ETH. À l’heure actuelle, son compte X officiel n’existe pas. Des investisseurs comme

MoonCat2878 ont également partagé leurs pertes personnelles. MoonCat2878 raconte comment ils ont initialement considéré RiskOnBlast comme une opportunité d'investissement prometteuse après avoir vu des projets et des partenaires réputés au sein de l'écosystème Blast. Cependant, la vente publique qui a suivi s'est transformée en un tour de financement non plafonné, ce qui a éveillé leurs doutes quant à Risk en tant que projet GameFi.

La surveillance Beosin Trace montre qu'actuellement, la plupart des fonds volés du projet Blast Ecological Game Risk ont ​​été transférés vers différents échanges, et une petite partie des fonds volés a été transférée à Arbitrum et Cosmos.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!