Blast ekosistem berkembang pesat, namun risiko keamanan tetap perlu diwaspadai

Baru-baru ini, Blast sebagai proyek blockchain baru menarik perhatian pasar. Dengan berakhirnya kompetisi pengembang "Big Bang", jumlah terkunci Blast (TVL) menunjukkan pertumbuhan yang eksplosif, melampaui angka 2 miliar dolar, dan menduduki posisi penting di jalur Layer2.

Tim Blast mengumumkan bahwa mereka akan meluncurkan mainnet pada 29 Februari, berita ini semakin memicu perbincangan di pasar. Banyak peserta yang berharap pada peluang airdrop yang potensial. Namun, seiring dengan perkembangan cepat ekosistem, berbagai proyek bermunculan, yang juga membawa risiko keamanan yang potensial. Artikel ini akan menganalisis secara mendalam risiko keamanan dan peluang pengembangan Blast dari sudut pandang teknis.

Perkembangan Blast

Blast resmi diluncurkan pada 21 November 2023, dengan cepat menarik perhatian luas dari komunitas kripto. Dalam waktu hanya 48 jam setelah diluncurkan, jumlah terkunci telah melampaui 570 juta dolar, dan menarik lebih dari 50.000 pengguna untuk berpartisipasi.

Tahun lalu, Blast mendapatkan dukungan dari beberapa putaran pendanaan. Ini termasuk pendanaan sebesar 20 juta dolar AS dari lembaga investasi terkenal, serta investasi sebesar 5 juta dolar AS dari sebuah perusahaan investasi cryptocurrency Jepang.

Hingga 25 Februari, sebuah platform data menunjukkan bahwa total nilai aset yang saat ini dimiliki alamat kontrak Blast telah melebihi 2 miliar USD. Sekitar 1,8 miliar USD ETH disimpan dalam suatu protokol staking, dan lebih dari 160 juta USD DAI disimpan dalam protokol pinjaman lainnya. Data ini sepenuhnya mencerminkan tingkat kepopuleran Blast di pasar.

Keunggulan unik Blast

Ciri khas Blast adalah memberikan imbal hasil asli untuk ETH dan stablecoin, yang tidak dimiliki oleh solusi Layer2 lainnya. Ketika pengguna mentransfer ETH ke Layer2 lainnya, biasanya ETH hanya akan dikunci dalam kontrak pintar dan memetakan ETH Layer2 yang sesuai. Namun, Blast akan menyimpan ETH pengguna dalam protokol staking untuk mendapatkan bunga, sambil memperkenalkan stablecoin baru yang memberikan bunga, USDB (stablecoin ini mendapatkan imbal hasil melalui pembelian obligasi pemerintah AS) ke jaringan Blast.

Selain itu, sebagai proyek Layer2 yang diluncurkan oleh tim platform perdagangan NFT terkenal, Blast secara alami memiliki keunggulan lalu lintas. Tim tersebut sebelumnya telah memberikan airdrop lebih dari 200 juta dolar AS kepada pengguna platform, dan telah mengumpulkan basis komunitas yang luas. Dengan menggabungkan rencana insentif airdrop Blast saat ini, strategi pemasaran melalui fusi lalu lintas menarik pengguna untuk berpartisipasi dalam staking.

Risiko Keamanan yang Dihadapi Blast

Meskipun Blast berkembang pesat, sejak diluncurkan juga menghadapi banyak keraguan dan kritik. Pada 23 November 2023, seorang insinyur hubungan pengembang dari blockchain terkenal menunjukkan bahwa tingkat sentralisasi Blast dapat membawa risiko keamanan yang serius bagi pengguna. Dia juga meragukan keabsahan Blast yang mengklasifikasikan dirinya sebagai jaringan 2 lapisan (L2), dengan berargumen bahwa itu tidak sesuai dengan definisi standar L2, karena kurangnya fungsi kunci seperti transaksi, jembatan lintas rantai, Rollup, atau mengirim data transaksi ke Ethereum.

Untuk memahami keamanan Blast secara mendalam, kami telah melakukan analisis rinci terhadap kode kontrak Deposit-nya. Temuan utama adalah sebagai berikut:

1. Risiko terpusat

Fungsi enableTransition yang paling penting dalam kontrak Blast Deposit hanya diizinkan untuk dipanggil oleh administrator kontrak. Fungsi ini mengambil alamat kontrak mainnetBridge sebagai parameter, dan kontrak mainnetBridge dapat mengakses semua ETH dan DAI yang dipertaruhkan.

Selain itu, kontrak Blast Deposit dapat ditingkatkan kapan saja melalui fungsi upgradeTo. Meskipun ini terutama digunakan untuk memperbaiki potensi kerentanan, ada juga kemungkinan penyalahgunaan. Sebagai perbandingan, sebuah proyek Layer2 terkenal mengambil pendekatan yang lebih hati-hati dalam hal peningkatan kontrak, di mana modifikasi kontrak dalam keadaan non-darurat biasanya memerlukan periode penundaan 10 hari dan harus diputuskan oleh dewan protokol yang terdiri dari beberapa orang.

2. Sengketa Multi-Signature

Setelah diperiksa, hak akses kontrak Blast Deposit dikendalikan oleh dompet multisig 3/5. Kelima alamat tanda tangan tersebut semuanya adalah akun yang dibuat 3 bulan yang lalu, dan informasi identitasnya tidak dipublikasikan. Karena seluruh kontrak sebenarnya dilindungi oleh kontrak kustodian melalui dompet multisig, bukan jembatan lintas rantai Rollup standar, ini menimbulkan keraguan di kalangan komunitas dan pengembang.

Tim Blast mengakui adanya risiko keamanan ini dan menyatakan bahwa meskipun kontrak pintar yang tidak dapat diubah biasanya dianggap lebih aman, mereka mungkin menyembunyikan kerentanan yang tidak terdeteksi. Sementara itu, kontrak pintar yang dapat ditingkatkan juga membawa risikonya sendiri, seperti peningkatan kontrak dan penguncian waktu yang mungkin dimanfaatkan. Untuk mengurangi risiko ini, Blast menyatakan akan menggunakan berbagai dompet perangkat keras untuk pengelolaan, guna menghindari risiko sentralisasi.

Namun, apakah pengelolaan dompet dapat secara efektif menghindari risiko sentralisasi dan serangan phishing, serta apakah ada proses manajemen yang lengkap, pertanyaan-pertanyaan ini belum mendapat jawaban yang jelas dari tim Blast. Perlu dicatat bahwa sebelumnya telah terjadi beberapa insiden keamanan yang mengakibatkan kerugian aset pengguna karena pengelolaan kunci pribadi yang tidak tepat, meskipun pihak proyek telah menggunakan dompet multisig atau teknologi dompet MPC.

Pada 19 Februari, tim Blast melakukan pembaruan pada kontrak Deposit, yang terutama menambahkan kontrak Predeploys dan memperkenalkan antarmuka IERC20Permit, sebagai persiapan untuk peluncuran di jaringan utama.

Tantangan Keamanan yang Dihadapi Ekosistem Blast

Pada 25 Februari, sebuah platform analisis anti pencucian uang mendeteksi bahwa sebuah proyek GambleFi dalam ekosistem Blast diduga mengalami kejadian RugPull, yang mengakibatkan kerugian sekitar 500 ETH. Akun media sosial resmi proyek tersebut saat ini tidak dapat diakses.

Sejumlah investor secara terbuka membagikan pengalaman kerugian mereka. Mereka menyatakan, pada awalnya mereka menganggap proyek tersebut sebagai peluang investasi yang menjanjikan, terutama karena melihat dukungan dari proyek dan mitra yang memiliki reputasi baik di dalam ekosistem Blast. Namun, tahap penggalangan dana publik berikutnya berubah menjadi putaran pendanaan tanpa batas, yang memicu keraguan mereka terhadap proyek tersebut.

Sebuah alat analisis di blockchain menunjukkan bahwa saat ini sebagian besar dana yang dicuri dari proyek GambleFi telah dipindahkan ke berbagai platform perdagangan, dan sejumlah kecil dana telah melintasi rantai ke blockchain publik lainnya.

Secara keseluruhan, meskipun Blast menunjukkan momentum perkembangan yang kuat, tantangan keamanan yang dihadapinya tidak dapat diabaikan. Investor harus tetap waspada saat berpartisipasi dalam proyek terkait dan secara menyeluruh mengevaluasi risiko potensial.