Blast ekosistemi hızlı bir şekilde gelişiyor, ancak güvenlik risklerine dikkat edilmesi gerekiyor.

Son zamanlarda, Blast yeni bir kamu zinciri projesi olarak piyasanın dikkatini çekiyor. "Big Bang" geliştirici yarışmasının sona ermesiyle birlikte, Blast'ın kilitlenen miktarı (TVL) patlayıcı bir büyüme gösterdi ve 20 milyar dolar eşiğini aştı, Layer2 alanında önemli bir konum kazandı.

Blast ekibi, 29 Şubat'ta ana ağı başlatacağını duyurdu, bu haber piyasada daha fazla tartışma yarattı. Birçok katılımcı potansiyel airdrop fırsatlarına yönelik beklentiler içinde. Ancak, ekosistemin hızlı gelişimi ile birlikte, çeşitli projelerin artışı potansiyel güvenlik risklerini de beraberinde getiriyor. Bu makale, Blast'ın güvenlik açıkları ve gelişim fırsatlarını teknik açıdan derinlemesine analiz edecektir.

Blast Gelişim Süreci

Blast, 21 Kasım 2023'te resmi olarak piyasaya sürüldü ve hızla kripto topluluğunun geniş dikkatini çekti. Yayınlandıktan sadece 48 saat içinde, kilitli miktarı 570 milyon doları aştı ve 50.000'den fazla kullanıcı katıldı.

Geçen yıl, Blast ardışık finansman turları aldı. Bunlar arasında tanınmış yatırım kuruluşlarından gelen 20 milyon dolarlık finansman ve bir Japon kripto para yatırım şirketinin sağladığı 5 milyon dolarlık yatırım bulunmaktadır.

25 Şubat itibarıyla, bir veri platformu, Blast akıllı sözleşme adresinin toplam varlık değerinin 2 milyar doları aştığını göstermektedir. Bunun yaklaşık 1.8 milyar doları bir staking protokolüne, 160 milyondan fazla doları ise başka bir borç verme protokolüne yatırılmıştır. Bu veriler, Blast'ın piyasadaki popülerliğini açıkça göstermektedir.

Blast'ın Eşsiz Avantajları

Blast'ın öne çıkan özelliği, ETH ve stablecoin'lere yerel getiri sağlamasıdır; bu, diğer Layer2 çözümlerinde bulunmamaktadır. Kullanıcılar ETH'yi diğer Layer2'ye transfer ettiklerinde, genellikle ETH'yi akıllı sözleşmeye kilitlerler ve karşılık gelen Layer2 ETH'sini haritalandırırlar. Oysa Blast, kullanıcıların ETH'sini staking protokolüne yatırarak getiri elde ederken, Blast ağına yeni gelir getiren stablecoin USDB'yi (bu stablecoin, ABD tahvili satın alarak gelir sağlar) entegre eder.

Ayrıca, tanınmış bir NFT ticaret platformu ekibi tarafından başlatılan Layer2 projesi olarak, Blast doğal olarak bir trafik avantajına sahiptir. Bu ekip daha önce platform kullanıcılarına 200 milyondan fazla dolarlık bir airdrop dağıttı ve geniş bir topluluk temeli oluşturdu. Mevcut Blast airdrop teşvik programı ile birlikte, kullanıcıları staking'e katılmaya çekmek için trafik patlaması pazarlama stratejileri kullanılmaktadır.

Blast'in Karşılaştığı Güvenlik Riskleri

Blast hızla gelişmesine rağmen, piyasaya sürüldüğü günden bu yana birçok şüphe ve eleştiriyle karşılaştı. 23 Kasım 2023'te, tanınmış bir kamu blok zincirinin geliştirici ilişkileri mühendisi, Blast'ın merkeziyetçi yapısının kullanıcılar için ciddi güvenlik riskleri taşıyabileceğini belirtti. Ayrıca, Blast'ın kendisini 2. katman (L2) ağı olarak sınıflandırma konusunda akıl yürüttü ve bunun L2'nin standart tanımına uymadığını, işlem, çapraz zincir köprüsü, Rollup veya Ethereum'a işlem verisi gönderme gibi temel işlevlerden yoksun olduğunu savundu.

Blast'ın güvenliğini daha iyi anlamak için, Deposit akıllı sözleşme kodunu detaylı bir şekilde analiz ettik. Ana olarak şu risk noktalarını tespit ettik:

1. Merkezileşme Riski

Blast Deposit sözleşmesindeki en kritik enableTransition fonksiyonu yalnızca sözleşme yöneticisi tarafından çağrılabilir. Bu fonksiyon, mainnetBridge sözleşme adresini parametre olarak alırken, mainnetBridge sözleşmesi tüm stake edilmiş ETH ve DAI'ye erişebilir.

Ayrıca, Blast Deposit sözleşmesi upgradeTo fonksiyonu aracılığıyla her an güncellenebilir. Bu, esasen potansiyel güvenlik açıklarını düzeltmek için kullanılsa da, kötüye kullanılma olasılığı da vardır. Buna karşın, belirli bir tanınmış Layer2 projesi sözleşme güncellemeleri konusunda daha temkinli bir yaklaşım benimsemiştir; acil durumlar dışında sözleşme değişiklikleri genellikle 10 günlük bir gecikme süresi gerektirir ve bu değişikliklerin onaylanması, çok sayıda kişiden oluşan bir protokol konseyinin kararı ile olur.

2. Çoklu İmza Anlaşmazlığı

Yapılan incelemeler sonucunda, Blast Deposit sözleşmesinin izinlerinin 3/5 çoklu imza cüzdanı tarafından kontrol edildiği belirlenmiştir. Bu 5 imza adresi, 3 ay önce oluşturulmuş hesaplardır ve kimlik bilgileri kamuya açık değildir. Tüm sözleşmenin aslında bir çoklu imza cüzdanı aracılığıyla korunan bir vekalet sözleşmesi olması ve standart bir Rollup çapraz zincir köprüsü olmaması, topluluk ve geliştiriciler arasında soru işaretlerine yol açmıştır.

Blast ekibi bu güvenlik risklerinin varlığını kabul etti ve değişmez akıllı sözleşmelerin genellikle daha güvenli olarak kabul edilmesine rağmen, bunların keşfedilmemiş açıkları gizleyebileceğini belirtti. Ayrıca, yükseltilebilir akıllı sözleşmelerin de sözleşme yükseltmeleri ve potansiyel olarak istismar edilebilecek zaman kilidi gibi kendi risklerini getirdiğini ifade etti. Bu riskleri azaltmak için Blast, merkezi riskleri önlemek amacıyla yönetim için çeşitli donanım cüzdanları kullanacağını açıkladı.

Ancak, cüzdan yönetiminin merkeziyetçilik ve kimlik avı saldırı risklerini etkili bir şekilde önleyip önleyemeyeceği, gelişmiş bir yönetim sürecinin olup olmadığı gibi sorulara Blast ekibi henüz net bir cevap vermedi. Önemli bir nokta, daha önce özel anahtar yönetimindeki hatalar nedeniyle kullanıcı varlıklarının kaybedilmesine yol açan birçok güvenlik olayı yaşanmış olmasıdır; bu durum, proje ekibinin çoklu imza cüzdanı veya MPC cüzdan teknolojisini kullanmasına rağmen gerçekleşmiştir.

19 Şubat'ta, Blast ekibi Deposit sözleşmesini güncelledi, temel olarak Predeploys sözleşmesini ekledi ve ana ağa geçiş için IERC20Permit arayüzünü tanıttı.

Blast ekosisteminin karşılaştığı güvenlik zorlukları

25 Şubat'ta, bir anti-beyaz yıkama analiz platformu, Blast ekosistemindeki bir GambleFi projesinin RugPull olayına karıştığını tespit etti ve yaklaşık 500 ETH zarara yol açtı. Projenin resmi sosyal medya hesabına şu anda erişilemiyor.

Birçok yatırımcı, kayıp deneyimlerini açıkça paylaştı. İlk olarak, projeyi Blast ekosistemindeki güvenilir projeler ve ortaklardan gelen destekle umut verici bir yatırım fırsatı olarak gördüklerini belirttiler. Ancak, sonraki kamu fonlama aşaması sınırsız bir finansman turuna dönüşünce projeye olan şüpheleri arttı.

Bir blockchain analiz aracı, şu anda GambleFi projesinin çalınan fonlarının çoğunun farklı borsa platformlarına transfer edildiğini, az miktarda fonun ise diğer halka açık blockchain'lere geçtiğini göstermektedir.

Özetle, Blast'ın güçlü bir gelişim ivmesi sergilemesine rağmen, karşılaştığı güvenlik zorlukları göz ardı edilemez. Yatırımcıların ilgili projelere katılırken dikkatli olmaları ve potansiyel riskleri kapsamlı bir şekilde değerlendirmeleri gerekmektedir.