O ecossistema Blast está a desenvolver-se rapidamente, mas os riscos de segurança ainda devem ser observados.

Recentemente, o Blast, como um emergente projeto de blockchain, tem atraído muita atenção do mercado. Com o término de sua competição de desenvolvedores "Big Bang", o volume de bloqueio do Blast (TVL) apresentou um crescimento explosivo, ultrapassando a marca de 2 bilhões de dólares e ocupando uma posição importante na pista Layer2.

A equipe da Blast anunciou que lançará a mainnet em 29 de fevereiro, e essa notícia gerou ainda mais discussões no mercado. Muitos participantes estão ansiosos por possíveis oportunidades de airdrop. No entanto, com o rápido desenvolvimento do ecossistema, a variedade de projetos que surgem também traz riscos potenciais de segurança. Este artigo irá analisar profundamente, do ponto de vista técnico, os riscos de segurança e as oportunidades de desenvolvimento da Blast.

História do desenvolvimento do Blast

Blast foi oficialmente lançado em 21 de novembro de 2023, rapidamente atraindo a ampla atenção da comunidade cripto. Em apenas 48 horas após o lançamento, seu volume de bloqueio ultrapassou 570 milhões de dólares, atraindo mais de 50 mil usuários para participar.

No ano passado, a Blast recebeu várias rodadas de financiamento. Isso inclui um financiamento de 20 milhões de dólares de instituições de investimento renomadas, bem como um investimento de 5 milhões de dólares de uma empresa japonesa de investimento em criptomoedas.

Até 25 de fevereiro, uma plataforma de dados mostrou que o valor total dos ativos atualmente detidos pelo endereço do contrato Blast ultrapassou 2 bilhões de dólares. Desses, aproximadamente 1,8 bilhão de dólares em ETH foram depositados em um determinado protocolo de staking, enquanto mais de 160 milhões de dólares em DAI foram depositados em outro protocolo de empréstimo. Esses dados refletem plenamente o quão quente está o Blast no mercado.

As vantagens únicas do Blast

A característica distintiva do Blast é oferecer rendimento nativo para ETH e stablecoins, algo que outras soluções Layer2 não possuem. Quando os usuários transferem ETH para outras Layer2, normalmente apenas bloqueiam o ETH em um contrato inteligente e mapeiam o correspondente ETH Layer2. O Blast, por outro lado, deposita o ETH dos usuários em um protocolo de staking para gerar rendimento, ao mesmo tempo que introduz uma nova stablecoin geradora de rendimento, o USDB (esta stablecoin obtém rendimento através da compra de títulos do tesouro dos EUA) na rede Blast.

Além disso, como um projeto Layer2 lançado pela equipe de uma conhecida plataforma de negociação de NFT, o Blast possui uma vantagem natural em termos de tráfego. A equipe já distribuiu mais de 200 milhões de dólares em airdrops para os usuários da plataforma, acumulando uma ampla base de comunidade. Combinando o atual plano de incentivos de airdrop do Blast, a estratégia de marketing de fissão de tráfego visa atrair usuários para participar do staking.

Riscos de segurança enfrentados pelo Blast

Apesar do rápido desenvolvimento do Blast, ele também enfrentou várias dúvidas e críticas desde o seu lançamento. Em 23 de novembro de 2023, um engenheiro de relações com desenvolvedores de uma conhecida blockchain pública apontou que o nível de centralização do Blast pode representar sérios riscos de segurança para os usuários. Além disso, ele questionou a razoabilidade do Blast se classificar como uma rede de 2ª camada (L2), considerando que não atende à definição padrão de L2 e carece de funcionalidades chave como transações, pontes entre cadeias, Rollup ou envio de dados de transação para o Ethereum.

Para entender melhor a segurança do Blast, realizamos uma análise detalhada do código do contrato de Depósito. Principais pontos de risco encontrados:

1. Risco de centralização

A função enableTransition, que é a mais crucial no contrato Blast Deposit, permite apenas que o administrador do contrato a chame. Esta função tem o endereço do contrato mainnetBridge como parâmetro, e o contrato mainnetBridge pode acessar todos os ETH e DAI em stake.

Além disso, o contrato Blast Deposit pode ser atualizado a qualquer momento através da função upgradeTo. Embora isso seja principalmente utilizado para corrigir vulnerabilidades potenciais, também existe a possibilidade de abuso. Em comparação, um conhecido projeto Layer2 adotou uma abordagem mais cautelosa em relação às atualizações de contratos, onde a modificação do contrato, em situações não urgentes, geralmente requer um período de espera de 10 dias e deve ser decidida por um conselho protocolar composto por várias pessoas.

2. Controvérsia de Multi-Assinatura

Após verificação, os privilégios do contrato Blast Deposit são controlados por uma carteira multi-assinatura 3/5. Os 5 endereços de assinatura foram todos criados há 3 meses, e suas informações de identidade não foram divulgadas. Uma vez que todo o contrato é, na verdade, um contrato de custódia protegido por uma carteira multi-assinatura, e não uma ponte cross-chain padrão Rollup, isso levantou questões entre a comunidade e os desenvolvedores.

A equipe da Blast reconheceu a existência desses riscos de segurança e afirmou que, embora os contratos inteligentes imutáveis sejam geralmente considerados mais seguros, eles podem esconder vulnerabilidades não descobertas. Por outro lado, os contratos inteligentes atualizáveis também trazem seus próprios riscos, como a atualização de contratos e os bloqueios de tempo que podem ser explorados. Para reduzir esses riscos, a Blast afirmou que usará várias carteiras de hardware para gerenciamento, a fim de evitar riscos de centralização.

No entanto, a equipe da Blast ainda não deu uma resposta clara sobre se a gestão de carteiras pode efetivamente evitar riscos de centralização e ataques de phishing, e se existem processos de gestão adequados. Vale a pena notar que já ocorreram vários incidentes de segurança que resultaram na perda de ativos dos usuários devido à má gestão das chaves privadas, mesmo que a equipe do projeto tenha utilizado tecnologia de carteira multi-assinatura ou carteira MPC.

No dia 19 de fevereiro, a equipe do Blast fez uma atualização no contrato de Depósito, principalmente adicionando o contrato Predeploys e introduzindo a interface IERC20Permit, em preparação para o lançamento na mainnet.

Desafios de segurança enfrentados pelo ecossistema Blast

No dia 25 de fevereiro, uma plataforma de análise de combate à lavagem de dinheiro monitorou um projeto GambleFi no ecossistema Blast que supostamente sofreu um evento de RugPull, resultando em perdas de cerca de 500 ETH. A conta oficial de mídia social do projeto atualmente não está acessível.

Vários investidores compartilharam publicamente suas experiências de perdas. Eles afirmaram que inicialmente viam o projeto como uma oportunidade de investimento promissora, principalmente por causa do endosse de projetos e parceiros respeitáveis dentro do ecossistema Blast. No entanto, a fase subsequente de captação de recursos se transformou em uma rodada de financiamento sem limites, o que gerou dúvidas sobre o projeto.

Uma ferramenta de análise de blockchain mostrou que a maior parte dos fundos roubados do projeto GambleFi foi transferida para diferentes plataformas de negociação, enquanto uma pequena quantidade de fundos foi transferida para outras blockchains.

Em suma, embora o Blast demonstre um forte impulso de desenvolvimento, os desafios de segurança que enfrenta não podem ser ignorados. Os investidores devem permanecer vigilantes ao participar de projetos relacionados, avaliando cuidadosamente os riscos potenciais.