Blast主線上線在即，技術層面解析其存在的安全隱憂與潛在機會

php小編新一近日發現，Blast主網即將上線，引起了廣泛關注。然而，隨之而來的安全隱患也備受關注，我們有必要對其技術層面進行深入解析。同時，潛在的機會也不容忽視，讓我們一起探討這個新興領域的挑戰與機會。

近期，Blast再次成為市場的“香餑餑”，隨著其“Big Bang”開發者競賽的結束，其TVL更是不斷飆升，一舉超過20億美元，在Layer2賽道上佔據著一席之地。

同時，Blast也宣布將在2月29日上線其主網，導致大眾對其持續關注，畢竟「空投預期」已成功吸引大部分參與者圍觀。但隨著其生態發展，各種專案層出不窮，同樣也導致各類安全風險頻繁。今天Beosin將為大家解讀打出強勁開局的Blast，TVL飆升背後的安全風險與潛在機會。

Blast發展歷程

Blast 是由Blur 創辦人Pacman 於2023年11月21日推出的新項目，在加密社群中迅速引起了廣泛關注。僅在推出後的48小時內，該網路的鎖定總價值（TVL）就已達到了 5.7 億美元，並吸引了逾 50,000名用戶。

Blast 去年獲得了 Paradigm 和 Standard Crypto 等主要支持者提供的 2000萬美元融資，緊接著去年11月，Blast 再次獲得日本加密貨幣投資公司 CGV 的 500萬美元投資。

根據DeBank數據，截至2月25日，Blast合約地址中的資產總價值已經超過20億美元，其中約18億美元的ETH存入了Lido協議，另有逾1.6億美元的DAI存入MakerDAO協議。這顯示出Blast在市場上具有極高的活躍度。

DeBank数据

為什麼Blast這麼火紅？

Blast 的獨特之處在於提供 ETH 和穩定幣的原生收益率，這是其它 Layer2 解決方案所不具備的特點。當用戶將ETH轉移至其它Layer2 時，這些Layer2 只會將ETH 鎖入智能合約，並映射對應的Layer2 ETH；而Blast 會將用戶的ETH 存入Lido 生息，並引入新的生息穩定幣USDB（該穩定幣將透過MakerDAO 購買美國國債獲得收益）到Blast 網路。

Blur團隊推出的Layer2具有獨特的流量優勢。 Blur先前已向其平台用戶發放了超過2億美元的空投，因此擁有龐大的社群基礎。同時，Blast正透過空投獎勵的方式吸引用戶參與質押，利用流量裂變的行銷策略來吸引更多用戶加入Blast。這種自然結合流量和空投激勵的方法，有助於吸引更多用戶參與，並為Blast的發展提供穩定的用戶基礎。

Blast 安全風險

Blast 自推出後就受到批評和質疑。 2023年 11 月 23 日，Polygon Labs 的開發者關係工程師 Jarrod Watts 推文表示 Blast 的中心化可能會為使用者帶來嚴重的安全風險。同時，他也質疑 Blast 將其歸類為第 2 層(L2)網絡，因為 Blast 不符合 L2 標準，缺乏交易、橋接、Rollup或向以太坊發送交易資料等功能。

Blast 的安全性究竟如何？有哪些安全風險？本次我們透過BeosinVaaS工具掃描 Blast Deposit 合約，結合 Beosin 安全專家的分析，對 Blast Deposit 合約程式碼進行解讀。

BeosinVaaS

Blast Deposit 合約為可升級合約，其代理合約位址為0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47d，目前其邏輯合約位址為0x0bD8b550主要風險點如下：

1. 中心化風險

Blast Deposit 合約最為重要的enableTransition函數，只有合約的admin 位址能夠呼叫。此外函數以mainnetBridge合約位址作為參數，而mainnetBridge合約可以存取所有質押的 ETH 和 DAI。

function enableTransition(address mainnetBridge) external onlyOwner { if (isTransitionEnabled) { revert TransitionIsEnabled(); }

_pause(); _setMainnetBridge(mainnetBridge); }

_pause(); _setMainnetBridge(mainnetBridge); #LIDO.approve(mainnetBridge, type(uint256).max); DAI.approve(mainnetBridge, type(uint256).max);}

#code:https://etherscan.io/address/0x0bd88b59d580549285fdbf code#F1#L230

此外，Blast Deposit 合約可以隨時透過upgradeTo函數進行升級。這主要是用來修復合約漏洞，但也存在作惡的可能性。目前Polygon zkEVM在升級合約這方面做得相對完善，非緊急情況下修改合約一般需要10天的延遲，且修改合約需要由13人組成的協議理事會決定。

function upgradeTo(address newImplementation) public virtual onlyProxy { _authorizeUpgrade(newImplementation); _upgradeToAndCallUUPS(newImplementation, new bytes(0), false); } }; 0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F2#L78

2. 多簽爭議

查看Blast Deposit 合約可知，其合約的權限由一個Gnosis 0

#查看Blast Deposit 合約可知，其合約的權限由一個Gnosis 03676767672030 4E469BaF608C所控制。這5個簽名位址為：

0x49d495DE356259458120bfd7bCB463CFb6D6c6BA

0xb7c719eB2649c1F03bFab68b0AAa35AD538a 786e86fab5e6b90F41

0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11

0x46e31F27Df5047#DFFFb3151FFF5047#FFFFb個地址皆為3個月前建立的新地址，身份未知。由於整個合約實際上是透過多簽錢包保護的託管合約，並非Rollup橋，Blast受到了許多來自社區和開發者的質疑。

Blast 承認了這一系列安全風險，並表示雖然不可變的智慧合約被認為是安全的，但它們可能隱藏著未偵測到的漏洞。而可升級的智慧合約也會帶來自身的風險，例如合約升級和容易被利用的時間鎖。為了減輕這些風險，Blast 會使用多種硬體錢包進行管理，並避免中心化風險。

不過錢包的管理是否能避免中心化和釣魚攻擊，是否有完善的管理流程，這是 Blast 暫未公佈的。先前 Ronin Bridge、Multichain兩起安全事件中，專案方雖然都使用了多簽錢包或是MPC錢包，卻因為私鑰管理的中心化導致了用戶的資產損失。

在2月19日，Blast 團隊對 Deposit 合約進行了一次更新。這次更新主要添加了Predeploys合約和引入了IERC20Permit接口，為主網上線做準備。

Blast生態風險

2月25日，Beosin KYT反洗錢分析平台監測到Blast生態GambleFi專案Risk（@riskonblast）疑似發生RugRull，受損失金額約500枚ETH。目前其官方X帳號已顯示不存在。

MoonCat2878 等投資者也分享了他們的個人損失。 MoonCat2878 講述了在看到來自 Blast 生態系統內信譽良好的項目和合作夥伴後，他們最初將 RiskOnBlast 視為一個有前途的投資機會。然而，隨後的公開發售變成了一輪無上限的融資，這引起了他們對Risk這個GameFi計畫的懷疑。

Beosin Trace監測顯示，目前Blast生態遊戲Risk專案的被盜資金大部分已轉移至不同的交易所，一小部分被盜資金已跨鏈至Arbitrum和Cosmos。

 

以上是Blast主線上線在即，技術層面解析其存在的安全隱憂與潛在機會的詳細內容。更多資訊請關注PHP中文網其他相關文章！