來源:Beosin
近期,Blast再次成為市場的“香餑餑”,隨著其“Big Bang”開發者競賽的結束,其TVL更是不斷飆升,一舉超過20億美元,在Layer2賽道上占據著一席之地。
同時,Blast也宣布將在2月29日上線其主網,導致大眾對其持續關注,畢竟“空投預期”已經成功吸引大部分參與者圍觀。但是隨著其生態發展,各種項目層出不窮,同樣也導致各類安全風險頻發。今天Beosin將為大家解讀打出強勁開局的Blast,TVL飆升背后的安全風險與潛在機會。
Blast 由 Blur 創始人 Pacman 于2023年 11 月 21 日推出,很快就在加密社區中得到廣泛關注。推出后 48 小時內,該網絡的鎖定總價值?(TVL)?達到 5.7 億美元,并吸引了超過 50,000?名用戶。
Blast 去年獲得了 Paradigm 和 Standard Crypto 等主要支持者提供的 2000?萬美元融資,緊接著去年11月,Blast 再次獲得日本加密貨幣投資公司 CGV 的 500?萬美元投資。
2月25日消息,DeBank數據顯示,Blast合約地址當前持有資產總價值超20億美元,其中價值18億美元ETH存入Lido協議,超過1.6億美元DAI存入MakerDAO協議,可見其在市場上的火熱。
DeBank數據
Blast 的獨特之處在于提供 ETH 和穩定幣的原生收益率,這是其它 Layer2 解決方案所不具備的特點。用戶將ETH轉移至其它 Layer2 時,這些 Layer2 只會將 ETH 鎖入智能合約,并映射對應的 Layer2 ETH;而 Blast 會將用戶的 ETH 存入 Lido 生息,并引入新的生息穩定幣 USDB(該穩定幣將通過 MakerDAO 購買美國國債獲得收益)到 Blast 網絡。
此外,作為 Blur 團隊推出的 Layer2,其本身自帶流量。此前 Blur 發放超過2億美元的空投給到其平臺的用戶,已經有廣泛的社區基礎,加上目前 Blast 進行空投激勵,通過流量裂變的營銷方式吸引用戶參與到 Blast 質押。
Blast 自推出后就受到批評和質疑。2023年 11 月 23 日,Polygon Labs 的開發者關系工程師 Jarrod Watts 發推表示 Blast 的中心化可能會給用戶帶來嚴重的安全風險。同時,他還質疑 Blast 將其歸類為第 2 層?(L2)?網絡,因為 Blast 不符合 L2 標準,缺乏交易、橋接、Rollup或向以太坊發送交易數據等功能。
Blast 的安全性究竟如何?存在哪些安全風險?本次我們通過Beosin?VaaS工具掃描 Blast Deposit 合約,結合 Beosin 安全專家的分析,對 Blast Deposit 合約代碼進行解讀。
Beosin?VaaS
Blast Deposit 合約為可升級合約,其代理合約地址為0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47d,目前其邏輯合約地址為0x0bD88b59D580549285f0A207Db5F06bf24a8e561,主要風險點如下:
Blast Deposit 合約最為重要的enableTransition函數,只有合約的 admin 地址能夠調用。此外該函數以mainnetBridge合約地址作為參數,而mainnetBridge合約可以訪問所有質押的 ETH 和 DAI。
code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F1#L230
此外,Blast Deposit 合約可以隨時通過upgradeTo函數進行升級。這主要是用于修復合約漏洞,但也存在作惡的可能。目前Polygon zkEVM在升級合約這方面做得相對完善,非緊急情況下修改合約一般需要10天的延遲,并且修改合約需要由13人組成的協議理事會決定。
code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F2#L78
查看 Blast Deposit 合約可知,其合約的權限由一個Gnosis Safe的3/5多簽錢包0x67CA7Ca75b69711cfd48B44eC3F64E469BaF608C所控制。這5個簽名地址為:
0x49d495DE356259458120bfd7bCB463CFb6D6c6BA
0xb7c719eB2649c1F03bFab68b0AAa35AD538a7cC8
0x1f97306039530ADB4173C3786e86fab5e6b90F41
0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11
0x46e31F27Df5047D7Fad9b1E8DFFec635cF6efAcF
這5個地址皆為3個月前創建的新地址,身份未知。由于整個合約實際是通過多簽錢包保護的托管合約,并非Rollup橋,Blast受到了許多來自社區和開發者的質疑。
Blast 承認了這一系列安全風險,并表示雖然不可變的智能合約被認為是安全的,但它們可能隱藏著未檢測到的漏洞。而可升級的智能合約也會帶來自身的風險,例如合約升級和容易被利用的時間鎖。為了減輕這些風險,Blast 會使用多種硬件錢包進行管理,避免中心化風險。
不過錢包的管理是否能避免中心化和釣魚攻擊,是否有完善的管理流程,這是 Blast 暫未公布的。此前 Ronin Bridge、Multichain兩起安全事件中,項目方雖然都使用了多簽錢包或是MPC錢包,卻因為私鑰管理的中心化導致了用戶的資產損失。
在2月19日,Blast 團隊對 Deposit 合約進行了一次更新。這次更新主要添加了Predeploys合約和引入了IERC20Permit接口,為主網上線做準備。
2月25日,Beosin KYT反洗錢分析平臺監測到Blast生態GambleFi項目Risk(@riskonblast)疑似發生RugRull,受損失金額約500枚ETH。目前其官方X賬號已顯示不存在。
MoonCat2878 等投資者也分享了他們的個人損失。MoonCat2878 講述了在看到來自 Blast 生態系統內信譽良好的項目和合作伙伴后,他們最初將 RiskOnBlast 視為一個有前途的投資機會。然而,隨后的公開發售變成了一輪無上限的融資,這引起了他們對Risk這個GameFi項目的懷疑。?
Beosin Trace監測顯示,目前Blast生態游戲Risk項目的被盜資金大部分已轉移至不同的交易所,一小部分被盜資金已跨鏈至Arbitrum和Cosmos。?
喜來順財經
