QRコードをスキャンしてダウンロードしてください。
ホームページ
記事
速報
Token Unlock
プロジェクトランキング
専題
専門コラム
ETF
ナレッジベース
カレンダー
イベント
ツールナビゲーション

Blastのメインネットのローンチが迫っており、技術的な観点からその存在するセキュリティリスクと潜在的な機会を分析します。

Beosin
2024-02-28 14:04:05
コレクション
Blastのエコシステムが発展するにつれて、さまざまなプロジェクトが次々と登場し、それに伴いさまざまなセキュリティリスクも頻発しています。今日はBeosinが、好スタートを切ったBlastのTVL急上昇の背後にあるセキュリティリスクと潜在的な機会を解説します。

著者:Beosin

最近、Blastは再び市場の「ホットなアイテム」となり、「Big Bang」開発者コンペティションの終了に伴い、そのTVLは急上昇し、一気に20億ドルを超え、Layer2の分野で一席を占めています。

同時に、Blastは2月29日にメインネットをローンチすることを発表し、一般の関心を集めています。結局のところ、「エアドロップ期待」がすでに大部分の参加者を引き寄せています。しかし、エコシステムの発展に伴い、さまざまなプロジェクトが次々と登場し、同様にさまざまなセキュリティリスクが頻発しています。今日はBeosinが、強力なスタートを切ったBlastのTVL急上昇の背後にあるセキュリティリスクと潜在的な機会を解説します。

Blastメインネットのローンチが迫る中、技術的な観点からその存在するセキュリティの懸念と潜在的な機会を解析

Blastの発展の歴史

Blastは、Blurの創設者Pacmanによって2023年11月21日に発表され、すぐに暗号コミュニティで広く注目を集めました。発表から48時間以内に、このネットワークのロック総価値(TVL)は5.7億ドルに達し、50,000人以上のユーザーを引き寄せました。

Blastは昨年、ParadigmやStandard Cryptoなどの主要な支援者から2,000万ドルの資金調達を受け、続いて昨年11月には日本の暗号通貨投資会社CGVから500万ドルの投資を受けました。

2月25日のニュースによると、DeBankのデータによれば、Blastの契約アドレスは現在、総資産価値が20億ドルを超えています。その中には、18億ドル相当のETHがLidoプロトコルに預けられ、1.6億ドル相当のDAIがMakerDAOプロトコルに預けられています。これは市場での熱気を示しています。

Blastメインネットのローンチが迫る中、技術的な観点からその存在するセキュリティの懸念と潜在的な機会を解析

DeBankデータ

なぜBlastはこんなに人気なのか?

Blastの独自性は、ETHとステーブルコインのネイティブ利回りを提供することにあります。これは他のLayer2ソリューションにはない特徴です。ユーザーがETHを他のLayer2に移動させると、これらのLayer2はETHをスマートコントラクトにロックし、対応するLayer2 ETHをマッピングするだけですが、BlastはユーザーのETHをLidoに預けて利息を得るとともに、新しい利息を生むステーブルコインUSDB(このステーブルコインはMakerDAOを通じて米国債を購入して収益を得る)をBlastネットワークに導入します。

さらに、Blurチームが提供するLayer2として、元々トラフィックを持っています。以前、Blurはそのプラットフォームのユーザーに2億ドル以上のエアドロップを行い、すでに広範なコミュニティ基盤を持っています。加えて、現在Blastはエアドロップインセンティブを行い、トラフィックのバイラルマーケティング手法を通じてユーザーをBlastのステーキングに引き込んでいます。

Blastのセキュリティリスク

Blastは発表以来、批判と疑問の声を受けています。2023年11月23日、Polygon Labsの開発者関係エンジニアJarrod Wattsはツイートで、Blastの中央集権性がユーザーに深刻なセキュリティリスクをもたらす可能性があると述べました。また、彼はBlastをLayer2(L2)ネットワークとして分類することに疑問を呈し、BlastがL2基準を満たしておらず、取引、ブリッジ、ロールアップ、またはイーサリアムへの取引データ送信機能が欠如していると指摘しました。

Blastのセキュリティは実際にどうなっているのでしょうか?どのようなセキュリティリスクが存在するのでしょうか?今回はBeosin VaaSツールを使用してBlast Deposit契約をスキャンし、Beosinのセキュリティ専門家の分析を組み合わせて、Blast Deposit契約コードを解読します。

Blastメインネットのローンチが迫る中、技術的な観点からその存在するセキュリティの懸念と潜在的な機会を解析

Beosin VaaS

Blast Deposit契約はアップグレード可能な契約であり、その代理契約アドレスは0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47dです。現在のロジック契約アドレスは0x0bD88b59D580549285f0A207Db5F06bf24a8e561で、主なリスクポイントは以下の通りです。

1. 中央集権リスク

Blast Deposit契約の最も重要なenableTransition関数は、契約のadminアドレスのみが呼び出すことができます。さらに、この関数はmainnetBridge契約アドレスをパラメータとして使用しており、mainnetBridge契約はすべてのステーキングされたETHとDAIにアクセスできます。

function enableTransition(address mainnetBridge) external onlyOwner { if (isTransitionEnabled) { revert TransitionIsEnabled(); }

_pause(); _setMainnetBridge(mainnetBridge); isTransitionEnabled = true;

LIDO.approve(mainnetBridge, type(uint256).max); DAI.approve(mainnetBridge, type(uint256).max);}

code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F1#L230

さらに、Blast Deposit契約はいつでもupgradeTo関数を通じてアップグレード可能です。これは主に契約の脆弱性を修正するために使用されますが、悪用される可能性もあります。現在、Polygon zkEVMは契約のアップグレードに関して比較的整備されており、緊急でない限り契約の変更には通常10日の遅延が必要で、契約の変更は13人からなるプロトコル理事会の決定が必要です。

function upgradeTo(address newImplementation) public virtual onlyProxy { _authorizeUpgrade(newImplementation); _upgradeToAndCallUUPS(newImplementation, new bytes(0), false); }

code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F2#L78

2. マルチシグの論争

Blast Deposit契約を確認すると、その契約の権限はGnosis Safeの3/5マルチシグウォレット0x67CA7Ca75b69711cfd48B44eC3F64E469BaF608Cによって制御されています。この5つの署名アドレスは以下の通りです:

0x49d495DE356259458120bfd7bCB463CFb6D6c6BA

0xb7c719eB2649c1F03bFab68b0AAa35AD538a7cC8

0x1f97306039530ADB4173C3786e86fab5e6b90F41

0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11

0x46e31F27Df5047D7Fad9b1E8DFFec635cF6efAcF

これら5つのアドレスはすべて3ヶ月前に作成された新しいアドレスであり、身元は不明です。契約全体は実際にはマルチシグウォレットによって保護されたエスクロー契約であり、Rollupブリッジではないため、Blastはコミュニティや開発者から多くの疑問を受けています。

Blastはこの一連のセキュリティリスクを認めており、不可変のスマートコントラクトは安全と見なされるが、未検出の脆弱性が隠れている可能性があると述べています。また、アップグレード可能なスマートコントラクトは、契約のアップグレードや利用されやすいタイムロックなどのリスクを伴います。これらのリスクを軽減するために、Blastは複数のハードウェアウォレットを使用して管理し、中央集権リスクを回避します。

ただし、ウォレットの管理が中央集権やフィッシング攻撃を回避できるかどうか、また、十分な管理プロセスがあるかどうかは、Blastがまだ公表していない点です。以前のRonin BridgeやMultichainのセキュリティ事件では、プロジェクト側はマルチシグウォレットやMPCウォレットを使用していましたが、秘密鍵管理の中央集権化によりユーザーの資産が失われました。

2月19日、BlastチームはDeposit契約に対して更新を行いました。この更新は主にPredeploys契約を追加し、IERC20Permitインターフェースを導入してメインネットのローンチに備えるものでした。

Blastエコシステムのリスク

2月25日、Beosin KYT反マネーロンダリング分析プラットフォームは、BlastエコシステムのGambleFiプロジェクトRisk(@riskonblast)がRugPullを疑われ、損失額は約500ETHに達していると監視しました。現在、その公式Xアカウントは存在しないことが示されています。

Blastメインネットのローンチが迫る中、技術的な観点からその存在するセキュリティの懸念と潜在的な機会を解析

MoonCat2878などの投資家も彼らの個人的な損失を共有しました。MoonCat2878は、Blastエコシステム内の信頼できるプロジェクトやパートナーからの情報を見た後、最初はRiskOnBlastを有望な投資機会と見なしていたと述べました。しかし、その後の公開販売は無制限の資金調達に変わり、彼らはRiskというGameFiプロジェクトに疑念を抱くようになりました。

Blastメインネットのローンチが迫る中、技術的な観点からその存在するセキュリティの懸念と潜在的な機会を解析

Beosin Traceの監視によれば、現在BlastエコシステムのゲームRiskプロジェクトから盗まれた資金の大部分は異なる取引所に移されており、一部の盗まれた資金はArbitrumやCosmosにクロスチェーンされています。

Blastメインネットのローンチが迫る中、技術的な観点からその存在するセキュリティの懸念と潜在的な機会を解析

関連タグ
ブラスト レイヤー2 アービトラム コスモス ゲームファイプロジェクト
ChainCatcherは、広大な読者の皆様に対し、ブロックチェーンを理性的に見るよう呼びかけ、リスク意識を向上させ、各種仮想トークンの発行や投機に注意することを提唱します。当サイト内の全てのコンテンツは市場情報や関係者の見解であり、何らかの投資助言として扱われるものではありません。万が一不適切な内容が含まれていた場合は「通報」することができます。私たちは迅速に対処いたします。
Beosin
Beosin Beosin(元成都链安)は、スマートコントラクト監査、盗まれた暗号通貨の回収、リスク監視および警告を含むブロックチェーンセキュリティサービスプロバイダーです。
東南アジア地域のチェーン上資金流動およびリスク分析報告
東南アジア地域のチェーン上資金流動およびリスク分析報告
史上の10大中央集権型取引所ハッキング事件を振り返る
史上の10大中央集権型取引所ハッキング事件を振り返る
プロジェクトについて言及する。
Arbitrum / Offchain Labs
Arbitrum / Offchain Labs イーサリアム第2層スケーリングソリューション
コスモス
コスモス ブロックチェーンのインターネット
関連タグ
ブラスト レイヤー2 アービトラム コスモス ゲームファイプロジェクト
関連読み物
MeterはSupernova Coreを発表し、Cosmos SDKに新しい拡張性ソリューションを提供します。
MeterはSupernova Coreを発表し、Cosmos SDKに新しい拡張性ソリューションを提供します。
BitsLabが重要なセキュリティ研究成果を発表:2024年の新興パブリックチェーンのセキュリティ全景洞察
BitsLabが重要なセキュリティ研究成果を発表:2024年の新興パブリックチェーンのセキュリティ全景洞察
公链レゴ:1層と0層のブロックチェーンを連携し、市場の構図を再構築する
公链レゴ:1層と0層のブロックチェーンを連携し、市場の構図を再構築する
RootData:2024 Web3 行业投资研究报告
RootData:2024 Web3 行业投资研究报告
著作権 © 2023年
私たちについて
メディアリソース
コラムの申請
免責声明
RSSリンク
募集
琼ICP备2021009392号
琼ICP备2021009392号
チェーンキャッチャー イノベーターとともにWeb3の世界を構築する
アプリを開く