Blast 生態發展迅猛，安全隱患仍需警惕

近期，Blast 作爲新興的公鏈項目備受市場關注。隨着其"Big Bang"開發者競賽的落幕，Blast 的鎖倉量(TVL)呈現爆發式增長，一舉突破 20 億美元大關，在 Layer2 賽道上佔據重要地位。

Blast 團隊宣布將於 2 月 29 日啓動主網，這一消息進一步引發了市場熱議。不少參與者對潛在的空投機會抱有期待。然而，伴隨生態系統的快速發展，各類項目層出不窮的同時，也帶來了潛在的安全風險。本文將從技術角度深入分析 Blast 的安全隱患與發展機遇。

Blast 發展歷程

Blast 於 2023 年 11 月 21 日正式上線，迅速引起加密社區的廣泛關注。上線僅 48 小時內，其鎖倉量就突破了 5.7 億美元，並吸引了超過 5 萬名用戶參與。

去年，Blast 先後獲得了多輪融資支持。其中包括來自知名投資機構的 2000 萬美元融資，以及一家日本加密貨幣投資公司提供的 500 萬美元投資。

截至 2 月 25 日，某數據平台顯示，Blast 合約地址當前持有資產總價值已超過 20 億美元。其中約 18 億美元的 ETH 存入了某質押協議，超過 1.6 億美元的 DAI 存入了另一個借貸協議。這一數據充分體現了 Blast 在市場上的火熱程度。

Blast 的獨特優勢

Blast 的突出特點在於爲 ETH 和穩定幣提供原生收益率，這是其他 Layer2 解決方案所不具備的。當用戶將 ETH 轉移至其他 Layer2 時，通常只會將 ETH 鎖定在智能合約中，並映射相應的 Layer2 ETH。而 Blast 則會將用戶的 ETH 存入質押協議生息，同時引入新的生息穩定幣 USDB（該穩定幣通過購買美國國債獲得收益）到 Blast 網路。

此外，作爲某知名 NFT 交易平台團隊推出的 Layer2 項目，Blast 天然具備流量優勢。該團隊此前曾向平台用戶發放超過 2 億美元的空投，已經積累了廣泛的社區基礎。結合當前 Blast 的空投激勵計劃，通過流量裂變的營銷策略吸引用戶參與質押。

Blast 面臨的安全風險

盡管 Blast 發展迅速，但自推出以來也面臨諸多質疑和批評。2023 年 11 月 23 日，某知名公鏈的開發者關係工程師指出，Blast 的中心化程度可能給用戶帶來嚴重的安全隱患。同時，他還質疑 Blast 將自身歸類爲第 2 層(L2)網路的合理性，認爲其不符合 L2 的標準定義，缺乏交易、跨鏈橋、Rollup 或向以太坊發送交易數據等關鍵功能。

爲深入了解 Blast 的安全性，我們對其 Deposit 合約代碼進行了詳細分析。主要發現以下風險點：

1. 中心化風險

Blast Deposit 合約中最關鍵的 enableTransition 函數僅允許合約管理員調用。該函數以 mainnetBridge 合約地址作爲參數，而 mainnetBridge 合約可以訪問所有質押的 ETH 和 DAI。

此外，Blast Deposit 合約可隨時通過 upgradeTo 函數進行升級。雖然這主要用於修復潛在漏洞，但也存在被濫用的可能性。相比之下，某知名 Layer2 項目在合約升級方面採取了更爲謹慎的做法，非緊急情況下修改合約通常需要 10 天的延遲期，且需要由多人組成的協議理事會決定。

2. 多籤爭議

經查，Blast Deposit 合約的權限由一個 3/5 多簽錢包控制。這 5 個籤名地址均爲 3 個月前新建的帳戶，其身分信息未公開。由於整個合約實際上是通過多簽錢包保護的托管合約，而非標準的 Rollup 跨鏈橋，因此引發了社區和開發者的質疑。

Blast 團隊承認了這些安全風險的存在，並表示雖然不可變的智能合約通常被認爲更安全，但它們可能隱藏未被發現的漏洞。而可升級的智能合約也帶來了自身的風險，如合約升級和可能被利用的時間鎖。爲降低這些風險，Blast 表示將使用多種硬體錢包進行管理，以避免中心化風險。

然而，錢包管理是否能有效規避中心化和釣魚攻擊風險，是否有完善的管理流程，這些問題 Blast 團隊尚未給出明確答復。值得注意的是，此前曾發生過多起因私鑰管理不當而導致用戶資產損失的安全事件，即便項目方採用了多簽錢包或 MPC 錢包技術。

2 月 19 日，Blast 團隊對 Deposit 合約進行了一次更新，主要添加了 Predeploys 合約並引入了 IERC20Permit 接口，爲主網上線做準備。

Blast 生態面臨的安全挑戰

2 月 25 日，某反洗錢分析平台監測到 Blast 生態中的一個 GambleFi 項目疑似發生 RugPull 事件，造成約 500 枚 ETH 的損失。該項目的官方社交媒體帳號目前已無法訪問。

多位投資者公開分享了他們的損失經歷。他們表示，最初將該項目視爲一個有前景的投資機會，主要是因爲看到了來自 Blast 生態系統內信譽良好的項目和合作夥伴的背書。然而，隨後的公開募資環節變成了一輪無上限的融資，這引發了他們對項目的懷疑。

某鏈上分析工具顯示，目前該 GambleFi 項目的被盜資金大部分已轉移至不同的交易平台，少量資金已跨鏈至其他公鏈。

綜上所述，盡管 Blast 展現出強勁的發展勢頭，但其面臨的安全挑戰不容忽視。投資者在參與相關項目時需保持警惕，全面評估潛在風險。