Экосистема Blast развивается стремительно, но угрозы безопасности все еще требуют внимания

В последнее время проект Blast, как новая публичная цепочка, привлекает внимание рынка. С окончанием его конкурса разработчиков "Big Bang" объем заблокированных средств Blast (TVL) продемонстрировал взрывной рост, преодолев отметку в 2 миллиарда долларов и заняв важное место в сегменте Layer2.

Команда Blast объявила о запуске основной сети 29 февраля, и эта новость вызвала дальнейшие обсуждения на рынке. Многие участники с нетерпением ждут потенциальных возможностей для аирдропа. Однако, с быстрым развитием экосистемы, множество проектов появляются один за другим, что также приводит к потенциальным рискам безопасности. В этой статье мы подробно проанализируем угрозы безопасности Blast и возможности для развития с технической точки зрения.

История развития Blast

Blast официально запустился 21 ноября 2023 года и быстро привлек широкое внимание криптосообщества. Всего за 48 часов после запуска объем его заблокированных средств превысил 570 миллионов долларов, и более 50 000 пользователей приняли участие.

В прошлом году Blast получил поддержку в виде нескольких раундов финансирования. Среди них 20 миллионов долларов от известных инвестиционных учреждений и 5 миллионов долларов от японской инвестиционной компании в криптовалюту.

Согласно данным одной из платформ на 25 февраля, текущая общая стоимость активов на адресе контракта Blast превысила 2 миллиарда долларов США. Из них около 1,8 миллиарда долларов США в ETH было внесено в один из стейкинговых протоколов, а более 160 миллионов долларов США в DAI были внесены в другой кредитный протокол. Эти данные полностью отражают популярность Blast на рынке.

Уникальные преимущества Blast

Основная особенность Blast заключается в том, что он предоставляет оригинальную доходность для ETH и стейблкоинов, чего не предлагают другие решения Layer2. Когда пользователи переводят ETH на другие Layer2, обычно ETH просто блокируется в смарт-контракте и отображается в соответствующем Layer2 ETH. В то же время, Blast будет помещать ETH пользователей в стейкинговый протокол для получения дохода, одновременно вводя новую доходную стейблкоин USDB (которая получает доход от покупки государственных облигаций США) в сеть Blast.

Кроме того, как проект Layer2, запущенный командой известной платформы для торговли NFT, Blast обладает естественным преимуществом в привлечении трафика. Эта команда ранее раздавала пользователям платформы более 200 миллионов долларов в виде аирдропов, что позволило ей накопить широкую базу сообщества. В сочетании с текущей программой стимулов для аирдропов Blast, маркетинговая стратегия, основанная на вирусном распространении, привлекает пользователей к участию в стейкинге.

Безопасные риски, с которыми сталкивается Blast

Несмотря на быстрый рост Blast, с момента его запуска он также столкнулся с многочисленными сомнениями и критикой. 23 ноября 2023 года инженер по связям с разработчиками известной публичной блокчейн-сети указал, что степень централизации Blast может представлять серьезные риски для безопасности пользователей. В то же время он также поставил под сомнение целесообразность классификации Blast как сети 2 уровня (L2), полагая, что она не соответствует стандартному определению L2 и не имеет таких ключевых функций, как сделки, кросс-чейн мосты, Rollup или отправка данных транзакций в Ethereum.

Чтобы глубже понять безопасность Blast, мы провели подробный анализ кода контракта Deposit. Основные обнаруженные риски:

1. Риски централизации

Функция enableTransition, которая является ключевой в контракте Blast Deposit, может вызываться только администратором контракта. Эта функция принимает адрес контракта mainnetBridge в качестве параметра, и контракт mainnetBridge может получить доступ ко всем заложенным ETH и DAI.

Кроме того, контракт Blast Deposit может быть обновлен в любое время с помощью функции upgradeTo. Хотя это в основном используется для исправления потенциальных уязвимостей, также существует возможность злоупотребления. В то же время, один известный проект Layer2 применяет более осторожный подход к обновлению контрактов: в обычных случаях изменение контракта обычно требует 10-дневного периода ожидания и должно быть одобрено советом протокола, состоящим из нескольких человек.

2. Споры по мультиподписанию

По проверке, права контракта Blast Deposit контролируются мультиподписным кошельком 3/5. Эти 5 адресов для подписей были созданы 3 месяца назад, и их личные данные не раскрыты. Поскольку весь контракт фактически защищен мультиподписным кошельком в качестве эскроу-контракта, а не стандартного кроссчейн-моста Rollup, это вызвало вопросы со стороны сообщества и разработчиков.

Команда Blast признала наличие этих рисков безопасности и заявила, что хотя неизменяемые смарт-контракты обычно считаются более безопасными, они могут скрывать невыявленные уязвимости. В то же время, обновляемые смарт-контракты также несут в себе собственные риски, такие как обновление контрактов и возможное использование временной блокировки. Чтобы снизить эти риски, Blast заявила, что будет использовать различные аппаратные кошельки для управления, чтобы избежать рисков централизации.

Однако команда Blast еще не дала четкого ответа на вопросы, может ли управление кошельками эффективно избежать рисков централизации и фишинга, и есть ли у них完善的管理流程. Стоит отметить, что ранее произошло несколько инцидентов с безопасностью, связанных с потерей активов пользователей из-за ненадлежащего управления закрытыми ключами, даже если команда проекта использовала мультиподписные кошельки или технологии MPC.

19 февраля команда Blast обновила контракт Deposit, добавив контракт Predeploys и внедрив интерфейс IERC20Permit для подготовки к запуску в основной сети.

Безопасные вызовы, стоящие перед экосистемой Blast

25 февраля некая платформа по анализу противодействия отмыванию денег обнаружила, что в экосистеме Blast один из проектов GambleFi подозревается в совершении RugPull-акта, что привело к убыткам примерно в 500 ETH. Официальные аккаунты в социальных сетях данного проекта в настоящее время недоступны.

Множество инвесторов открыто поделились своим опытом потерь. Они заявили, что изначально рассматривали этот проект как перспективную инвестиционную возможность, главным образом из-за поддержки со стороны уважаемых проектов и партнеров в экосистеме Blast. Однако последующий этап публичного финансирования превратился в бесконечный раунд финансирования, что вызвало у них сомнения в проекте.

Некоторые инструменты анализа блокчейна показывают, что в настоящее время большая часть украденных средств проекта GambleFi была переведена на различные торговые платформы, а небольшая часть средств была перекрестно переведена на другие публичные блокчейны.

Таким образом, несмотря на то, что Blast демонстрирует сильные темпы развития, его безопасность представляет собой серьезную проблему. Инвесторы должны оставаться бдительными и всесторонне оценивать потенциальные риски при участии в соответствующих проектах.