Blast 主网上线在即，技术层面解析其存在的安全隐患与潜在机会

作者：Beosin

近期，Blast再次成为市场的“香饽饽”，随着其“Big Bang”开发者竞赛的结束，其TVL更是不断飙升，一举超过20亿美元，在Layer2赛道上占据着一席之地。

同时，Blast也宣布将在2月29日上线其主网，导致大众对其持续关注，毕竟“空投预期”已经成功吸引大部分参与者围观。但是随着其生态发展，各种项目层出不穷，同样也导致各类安全风险频发。今天Beosin将为大家解读打出强劲开局的Blast，TVL飙升背后的安全风险与潜在机会。

Blast发展历程

Blast 由 Blur 创始人 Pacman 于2023年 11 月 21 日推出，很快就在加密社区中得到广泛关注。推出后 48 小时内，该网络的锁定总价值(TVL)达到 5.7 亿美元，并吸引了超过 50,000名用户。

Blast 去年获得了 Paradigm 和 Standard Crypto 等主要支持者提供的 2000万美元融资，紧接着去年11月，Blast 再次获得日本加密货币投资公司 CGV 的 500万美元投资。

2月25日消息，DeBank数据显示，Blast合约地址当前持有资产总价值超20亿美元，其中价值18亿美元ETH存入Lido协议，超过1.6亿美元DAI存入MakerDAO协议，可见其在市场上的火热。

DeBank数据

为什么Blast这么火？

Blast 的独特之处在于提供 ETH 和稳定币的原生收益率，这是其它 Layer2 解决方案所不具备的特点。用户将ETH转移至其它 Layer2 时，这些 Layer2 只会将 ETH 锁入智能合约，并映射对应的 Layer2 ETH；而 Blast 会将用户的 ETH 存入 Lido 生息，并引入新的生息稳定币 USDB（该稳定币将通过 MakerDAO 购买美国国债获得收益）到 Blast 网络。

此外，作为 Blur 团队推出的 Layer2，其本身自带流量。此前 Blur 发放超过2亿美元的空投给到其平台的用户，已经有广泛的社区基础，加上目前 Blast 进行空投激励，通过流量裂变的营销方式吸引用户参与到 Blast 质押。

Blast 安全风险

Blast 自推出后就受到批评和质疑。2023年 11 月 23 日，Polygon Labs 的开发者关系工程师 Jarrod Watts 发推表示 Blast 的中心化可能会给用户带来严重的安全风险。同时，他还质疑 Blast 将其归类为第 2 层(L2)网络，因为 Blast 不符合 L2 标准，缺乏交易、桥接、Rollup或向以太坊发送交易数据等功能。

Blast 的安全性究竟如何？存在哪些安全风险？本次我们通过BeosinVaaS工具扫描 Blast Deposit 合约，结合 Beosin 安全专家的分析，对 Blast Deposit 合约代码进行解读。

BeosinVaaS

Blast Deposit 合约为可升级合约，其代理合约地址为0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47d，目前其逻辑合约地址为0x0bD88b59D580549285f0A207Db5F06bf24a8e561，主要风险点如下：

1. 中心化风险

Blast Deposit 合约最为重要的enableTransition函数，只有合约的 admin 地址能够调用。此外该函数以mainnetBridge合约地址作为参数，而mainnetBridge合约可以访问所有质押的 ETH 和 DAI。

function enableTransition(address mainnetBridge) external onlyOwner { if (isTransitionEnabled) { revert TransitionIsEnabled(); }

_pause(); _setMainnetBridge(mainnetBridge); isTransitionEnabled = true;

LIDO.approve(mainnetBridge, type(uint256).max); DAI.approve(mainnetBridge, type(uint256).max);}

code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F1#L230

此外，Blast Deposit 合约可以随时通过upgradeTo函数进行升级。这主要是用于修复合约漏洞，但也存在作恶的可能。目前Polygon zkEVM在升级合约这方面做得相对完善，非紧急情况下修改合约一般需要10天的延迟，并且修改合约需要由13人组成的协议理事会决定。

function upgradeTo(address newImplementation) public virtual onlyProxy { _authorizeUpgrade(newImplementation); _upgradeToAndCallUUPS(newImplementation, new bytes(0), false); }

code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F2#L78

2. 多签争议

查看 Blast Deposit 合约可知，其合约的权限由一个Gnosis Safe的3/5多签钱包0x67CA7Ca75b69711cfd48B44eC3F64E469BaF608C所控制。这5个签名地址为：

0x49d495DE356259458120bfd7bCB463CFb6D6c6BA

0xb7c719eB2649c1F03bFab68b0AAa35AD538a7cC8

0x1f97306039530ADB4173C3786e86fab5e6b90F41

0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11

0x46e31F27Df5047D7Fad9b1E8DFFec635cF6efAcF

这5个地址皆为3个月前创建的新地址，身份未知。由于整个合约实际是通过多签钱包保护的托管合约，并非Rollup桥，Blast受到了许多来自社区和开发者的质疑。

Blast 承认了这一系列安全风险，并表示虽然不可变的智能合约被认为是安全的，但它们可能隐藏着未检测到的漏洞。而可升级的智能合约也会带来自身的风险，例如合约升级和容易被利用的时间锁。为了减轻这些风险，Blast 会使用多种硬件钱包进行管理，避免中心化风险。

不过钱包的管理是否能避免中心化和钓鱼攻击，是否有完善的管理流程，这是 Blast 暂未公布的。此前 Ronin Bridge、Multichain两起安全事件中，项目方虽然都使用了多签钱包或是MPC钱包，却因为私钥管理的中心化导致了用户的资产损失。

在2月19日，Blast 团队对 Deposit 合约进行了一次更新。这次更新主要添加了Predeploys合约和引入了IERC20Permit接口，为主网上线做准备。

Blast生态风险

2月25日，Beosin KYT反洗钱分析平台监测到Blast生态GambleFi项目Risk（@riskonblast）疑似发生RugRull，受损失金额约500枚ETH。目前其官方X账号已显示不存在。

MoonCat2878 等投资者也分享了他们的个人损失。MoonCat2878 讲述了在看到来自 Blast 生态系统内信誉良好的项目和合作伙伴后，他们最初将 RiskOnBlast 视为一个有前途的投资机会。然而，随后的公开发售变成了一轮无上限的融资，这引起了他们对Risk这个GameFi项目的怀疑。

Beosin Trace监测显示，目前Blast生态游戏Risk项目的被盗资金大部分已转移至不同的交易所，一小部分被盗资金已跨链至Arbitrum和Cosmos。