Blast екосистема розвивається стрімко, але небезпеки безпеки все ще потрібно пильнувати

Нещодавно Blast, як новий проект публічного блокчейна, привернув велику увагу на ринку. Після завершення його конкурсу для розробників "Big Bang", обсяг заблокованих коштів Blast (TVL) продемонстрував стрімке зростання, перевищивши позначку у 2 мільярди доларів і зайнявши важливу позицію на ринку Layer2.

Команда Blast оголосила, що основна мережа запуститься 29 лютого, ця новина ще більше розгоріла обговорення на ринку. Багато учасників з нетерпінням чекають потенційної можливості аеродропу. Однак разом з швидким розвитком екосистеми, безліч проектів з'являються один за одним, що також приносить потенційні ризики безпеки. У цій статті ми докладно проаналізуємо ризики безпеки та можливості розвитку Blast з технічної точки зору.

Розвиток Blast

Blast офіційно запуститься 21 листопада 2023 року і швидко приверне широке увагу крипто-спільноти. Лише за 48 годин після запуску обсяг зафіксованих коштів перевищив 570 мільйонів доларів, а також залучив понад 50 тисяч користувачів.

Минулого року компанія Blast отримала кілька раундів фінансування. Серед них - фінансування у 20 мільйонів доларів від відомих інвестиційних установ, а також інвестиція у 5 мільйонів доларів від японської криптовалютної інвестиційної компанії.

Станом на 25 лютого, одна з платформ даних показує, що загальна вартість активів на адресі контракту Blast наразі перевищує 2 мільярди доларів США. З них близько 1,8 мільярда доларів США у ETH було внесено в один з пульсуючих протоколів, а понад 160 мільйонів доларів США у DAI – в інший кредитний протокол. Ці дані яскраво демонструють популярність Blast на ринку.

Унікальні переваги Blast

Основною особливістю Blast є те, що він надає рідний дохід для ETH та стейблкойнів, чого не мають інші рішення Layer2. Коли користувачі переміщують ETH на інші Layer2, зазвичай просто блокують ETH у смарт-контракті та відображають відповідний Layer2 ETH. Натомість Blast зберігає ETH користувачів у протоколі стейкінгу для отримання доходу, одночасно вводячи новий стейблкойн для отримання доходу USDB (цей стейблкойн отримує дохід через купівлю державних облігацій США) в мережу Blast.

Крім того, як проект Layer2, запущений командою відомої платформи для торгівлі NFT, Blast має природну перевагу в потоку користувачів. Ця команда раніше роздала користувачам платформи понад 200 мільйонів доларів у вигляді аірдропів, що дозволило їй накопичити широку спільноту. У поєднанні з поточним планом аірдропів Blast, маркетингова стратегія з використанням потоку для залучення користувачів до участі в стейкінгу.

Безпекові ризики, з якими стикається Blast

Хоча Blast розвивається швидко, з моменту запуску він також зіткнувся з численними запитаннями та критикою. 23 листопада 2023 року інженер з відносин з розробниками відомого публічного блокчейну вказав, що рівень централізації Blast може створити серйозні загрози безпеці для користувачів. Крім того, він поставив під сумнів виправданість класифікації Blast як мережі другого рівня (L2), вважаючи, що вона не відповідає стандартному визначенню L2, оскільки їй не вистачає ключових функцій, таких як транзакції, міжланцюгові мости, Rollup або відправка даних транзакцій до Ethereum.

Щоб глибше зрозуміти безпеку Blast, ми провели детальний аналіз коду контракту Deposit. Основні виявлені ризики:

1. Ризик централізації

Функція enableTransition, яка є ключовою в контракті Blast Deposit, дозволяє викликати її лише адміністратору контракту. Ця функція приймає адресу контракту mainnetBridge як параметр, а контракт mainnetBridge може отримувати доступ до всього заставленого ETH та DAI.

Крім того, контракт Blast Deposit можна оновити в будь-який час за допомогою функції upgradeTo. Хоча це в основному використовується для виправлення потенційних вразливостей, також існує можливість зловживання. На відміну від цього, один відомий проект Layer2 вживає більш обережних заходів щодо оновлення контрактів: у разі не термінових змін контракту зазвичай потрібен 10-денний період затримки, і рішення повинні прийматися колегією протоколу, що складається з кількох осіб.

2. Спірні питання з мультипідписом

За результатами перевірки, права договору Blast Deposit контролюються мультипідписом 3/5. Ці 5 підписних адрес є новоствореними обліковими записами, створеними 3 місяці тому, і їх особиста інформація не була оприлюднена. Оскільки весь контракт насправді є ескроу-контрактом, захищеним мультипідписом, а не стандартним мостом Rollup між ланцюгами, це викликало питання серед спільноти та розробників.

Команда Blast визнала наявність цих ризиків безпеки і заявила, що хоча незмінні смарт-контракти зазвичай вважаються більш безпечними, вони можуть приховувати непомічені вразливості. А смарт-контракти, які можна оновлювати, також несуть свої ризики, такі як оновлення контракту та можливе використання таймлока. Щоб зменшити ці ризики, Blast заявила, що використовуватиме кілька апаратних гаманців для управління, щоб уникнути ризиків централізації.

Однак команда Blast ще не надала чіткої відповіді на питання, чи може управління гаманцем ефективно уникнути ризиків централізації та фішингових атак, чи існують належні процедури управління. Варто зазначити, що раніше траплялися численні випадки втрати активів користувачів через неналежне управління приватними ключами, навіть якщо команда проекту використовувала мультипідписні гаманці або технологію MPC.

19 лютого команда Blast провела оновлення контракту Deposit, основною метою якого було додавання контрактів Predeploys та впровадження інтерфейсу IERC20Permit, щоб підготуватися до запуску в основній мережі.

Безпекові виклики, з якими стикається екосистема Blast

25 лютого певна платформа аналізу протидії відмиванню коштів зафіксувала ймовірний випадок RugPull в одному з проектів GambleFi в екосистемі Blast, що призвело до збитків приблизно в 500 ETH. Офіційний обліковий запис цього проекту в соціальних мережах наразі недоступний.

Багато інвесторів відкрито діляться своїм досвідом втрат. Вони зазначають, що спочатку вважали цей проєкт перспективною інвестиційною можливістю, головним чином через підтримку від надійних проєктів та партнерів у екосистемі Blast. Однак наступний етап збору коштів перетворився на безмежне фінансування, що викликало у них сумніви щодо проєкту.

Деякі аналітичні інструменти на блокчейні показують, що наразі більшість украдених коштів з проєкту GambleFi було переміщено на різні торгові платформи, а невелика частина коштів була переведена на інші публічні блокчейни.

Отже, незважаючи на те, що Blast демонструє потужний розвиток, виклики безпеки, з якими вона стикається, не слід ігнорувати. Інвестори повинні залишатися обережними під час участі у відповідних проектах і всебічно оцінювати потенційні ризики.