Blast Основна мережа найближчим часом буде запущена, технічний аналіз ризиків безпеки та перспектив розвитку

Нещодавно Blast знову став центром уваги на ринку. Після завершення його конкурсу розробників "Big Bang" загальна заблокована вартість Blast (TVL) продовжувала зростати, одного разу перевищивши 2 мільярди доларів, займаючи важливу позицію на трасі Layer2.

Blast оголосив, що 29 лютого запустить Основну мережу, що викликало широкий інтерес. Багато учасників були приваблені "очікуванням аерозоля", і приєдналися до спостереження. Однак, разом із швидким розширенням його екосистеми, різноманітні проекти виникають один за одним, що також призвело до чималої кількості ризиків безпеки. Ця стаття глибше аналізує розвиток Blast, потенційні ризики, які стоять за зростанням TVL, та майбутні можливості.

Огляд розвитку Blast

Blast був запущений Pacman 21 листопада 2023 року та швидко привернув увагу крипто-спільноти. Лише за 48 годин після запуску TVL в мережі досяг 570 мільйонів доларів, залучивши понад 50 тисяч користувачів.

Минулого року Blast отримав фінансування в 20 мільйонів доларів від відомих установ, таких як Paradigm і Standard Crypto. Незабаром у листопаді він отримав інвестицію в 5 мільйонів доларів від японської криптовалютної інвестиційної компанії CGV.

Останні дані показують, що загальна вартість активів, що належать адресі контракту Blast, на даний момент перевищує 2 мільярди доларів США, з яких близько 1,8 мільярда доларів США ETH зберігається в протоколі Lido, а більше 160 мільйонів доларів США DAI зберігається в протоколі MakerDAO, що повністю відображає його популярність на ринку.

Чому Blast настільки популярний?

Унікальність Blast полягає в тому, що він пропонує рідні прибуткові ставки для ETH та стейблкоїнів, чого немає в інших рішеннях Layer2. Коли користувачі переміщують ETH до Blast, Blast вносить ETH користувача до Lido для отримання прибутку, а також вводить новий стейблкоїн USDB (цей стейблкоїн отримує прибуток від покупки державних облігацій США через MakerDAO) в мережу Blast.

Крім того, як відомий проект команди, що випустила Layer2, Blast має перевагу в трафіку. Раніше ця команда надала користувачам платформи понад 200 мільйонів доларів у вигляді аеродропу, вже створивши широку спільноту. У поєднанні з поточним планом заохочення аеродропу Blast, стратегія маркетингу через розподіл трафіку привернула велику кількість користувачів до участі в стейкінгу Blast.

Аналіз ризиків безпеки Blast

Від моменту запуску Blast стикається з критикою та сумнівами. 23 листопада 2023 року інженер з розробки відомої компанії відкрито заявив, що централізованість Blast може створити серйозні загрози безпеці для користувачів. Крім того, він поставив під сумнів обґрунтованість позиціонування Blast як другого рівня (L2) мережі, вважаючи, що Blast не відповідає стандарту L2, оскільки в ньому відсутні ключові функції, такі як торгівля, мости, Rollup або передача даних транзакцій в Ethereum.

Через глибокий аналіз коду контракту Blast Deposit, ми виявили такі основні ризики:

1. Ризики централізації

Ключова функція enableTransition у контракті Blast Deposit може бути викликана лише адресою адміністратора контракту. Ця функція приймає адресу контракту mainnetBridge як параметр, а контракт mainnetBridge може отримати доступ до всіх заблокованих ETH та DAI.

Крім того, контракт Blast Deposit можна оновити в будь-який час за допомогою функції upgradeTo. Хоча це в основному використовується для виправлення вразливостей контракту, існує також потенційний ризик зловживань. На відміну від цього, інші проекти Layer2 вжили більш обережних заходів щодо оновлення контрактів, таких як встановлення періоду затримки та механізму колективного ухвалення рішень.

2. Управління багатопідписом спірні питання

Права на контракт Blast Deposit контролюються мультипідписом 3/5. Ці 5 підписаних адрес були створені 3 місяці тому, їх особи невідомі. Оскільки весь контракт фактично є ескроу-контрактом, захищеним мультипідписом, а не справжнім мостом Rollup, Blast спровокував сумніви в спільноті та серед розробників.

Команда Blast визнала наявність цих ризиків безпеки і зазначила, що хоча незмінні смарт-контракти вважаються більш безпечними, вони можуть приховувати невиявлені вразливості. Смарт-контракти, що підлягають оновленню, також несуть в собі власні ризики, такі як оновлення контрактів і легкість використання часових замків. Щоб зменшити ці ризики, Blast планує використовувати кілька апаратних гаманців для управління, щоб зменшити ризики централізації.

Однак, чи може управління гаманцем ефективно уникати централізації та фішингових атак, чи є досконалі процеси управління, ці питання Blast наразі не дали чіткої відповіді. Деякі минулі інциденти безпеки показують, що навіть використовуючи мультипідписні гаманці або гаманці MPC, через централізовану проблему управління приватними ключами, все ще можуть призвести до втрати активів користувачів.

19 лютого команда Blast оновила контракт Deposit, головним чином додавши контракт Predeploys та впровадивши інтерфейс IERC20Permit, готуючи до запуску на Основній мережі.

Безпекова подія екосистеми Blast

Нещодавно в екосистемі Blast один з GambleFi проектів Risk, ймовірно, зазнав атаки RugPull, що призвело до втрати близько 500 ETH. Офіційний обліковий запис цього проекту в соціальних мережах став недоступним.

Інвестори поділилися своїм досвідом втрат. Спочатку вони вважали RiskOnBlast перспективною інвестиційною можливістю, але подальше необмежене публічне фінансування викликало підозри.

Згідно з аналізом даних на блокчейні, більшість викрадених коштів були переведені на різні біржі, а невелика кількість коштів була перенесена через мережі.

Ця подія ще раз нагадує інвесторам про необхідність бути обережними при участі в проектах нових екосистем, проводити оцінку ризиків та управляти активами.