Blast sinh thái phát triển nhanh chóng, vẫn cần cảnh giác với những nguy cơ an toàn

Gần đây, Blast như một dự án blockchain mới nổi đã thu hút sự chú ý của thị trường. Với sự kết thúc của cuộc thi lập trình viên "Big Bang", lượng khóa của Blast là (TVL) đã tăng vọt, vượt qua mốc 2 tỷ đô la, chiếm vị trí quan trọng trong lĩnh vực Layer2.

Nhóm Blast đã thông báo rằng họ sẽ khởi động mạng chính vào ngày 29 tháng 2, thông tin này đã làm dấy lên nhiều cuộc thảo luận trong thị trường. Nhiều người tham gia đang háo hức chờ đợi cơ hội airdrop tiềm năng. Tuy nhiên, cùng với sự phát triển nhanh chóng của hệ sinh thái, các loại dự án xuất hiện ngày càng nhiều, đồng thời cũng mang đến những rủi ro an ninh tiềm ẩn. Bài viết này sẽ phân tích sâu sắc các rủi ro an ninh và cơ hội phát triển của Blast từ góc độ kỹ thuật.

Lịch sử phát triển của Blast

Blast chính thức ra mắt vào ngày 21 tháng 11 năm 2023, nhanh chóng thu hút sự chú ý rộng rãi từ cộng đồng tiền điện tử. Chỉ trong 48 giờ sau khi ra mắt, lượng khóa đã vượt qua 570 triệu USD và thu hút hơn 50.000 người dùng tham gia.

Năm ngoái, Blast đã nhận được nhiều vòng hỗ trợ tài chính. Trong đó có 20 triệu USD từ các tổ chức đầu tư nổi tiếng, cùng với 5 triệu USD từ một công ty đầu tư tiền điện tử của Nhật Bản.

Tính đến ngày 25 tháng 2, một nền tảng dữ liệu cho thấy tổng giá trị tài sản hiện tại mà địa chỉ hợp đồng Blast nắm giữ đã vượt quá 2 tỷ USD. Trong số đó, khoảng 1.8 tỷ USD ETH đã được gửi vào một giao thức staking, hơn 160 triệu USD DAI đã được gửi vào một giao thức cho vay khác. Dữ liệu này thể hiện rõ mức độ nóng bỏng của Blast trên thị trường.

Lợi thế độc đáo của Blast

Điểm nổi bật của Blast là cung cấp tỷ suất sinh lời gốc cho ETH và stablecoin, điều mà các giải pháp Layer2 khác không có. Khi người dùng chuyển ETH sang Layer2 khác, thường chỉ có ETH được khóa trong hợp đồng thông minh và ánh xạ ETH tương ứng của Layer2. Trong khi đó, Blast sẽ gửi ETH của người dùng vào giao thức staking để sinh lời, đồng thời đưa vào mạng Blast stablecoin mới sinh lời USDB (stablecoin này thu được lợi nhuận thông qua việc mua trái phiếu chính phủ Hoa Kỳ).

Ngoài ra, với tư cách là một dự án Layer2 được ra mắt bởi một đội ngũ của một nền tảng giao dịch NFT nổi tiếng, Blast tự nhiên có lợi thế về lưu lượng. Đội ngũ này trước đó đã phát tặng hơn 200 triệu đô la cho người dùng nền tảng, đã tích lũy được một cộng đồng rộng lớn. Kết hợp với kế hoạch khuyến khích airdrop hiện tại của Blast, chiến lược tiếp thị thông qua sự bùng nổ lưu lượng sẽ thu hút người dùng tham gia staking.

Rủi ro an ninh mà Blast phải đối mặt

Mặc dù Blast phát triển nhanh chóng, nhưng kể từ khi ra mắt, nó cũng đã phải đối mặt với nhiều nghi vấn và chỉ trích. Vào ngày 23 tháng 11 năm 2023, một kỹ sư quan hệ phát triển từ một chuỗi công khai nổi tiếng đã chỉ ra rằng mức độ tập trung của Blast có thể mang lại rủi ro an ninh nghiêm trọng cho người dùng. Đồng thời, ông cũng nghi ngờ tính hợp lý của việc Blast tự phân loại là mạng lưới lớp 2 (L2), cho rằng nó không phù hợp với định nghĩa tiêu chuẩn của L2, thiếu các chức năng quan trọng như giao dịch, cầu nối chuỗi chéo, Rollup hoặc gửi dữ liệu giao dịch đến Ethereum.

Để hiểu sâu về độ an toàn của Blast, chúng tôi đã thực hiện phân tích chi tiết mã hợp đồng Deposit của nó. Các điểm rủi ro chính được phát hiện như sau:

1. Rủi ro tập trung hóa

Hàm enableTransition trong hợp đồng Blast Deposit là hàm quan trọng nhất chỉ cho phép quản trị viên hợp đồng gọi. Hàm này nhận địa chỉ hợp đồng mainnetBridge làm tham số, trong khi hợp đồng mainnetBridge có thể truy cập tất cả ETH và DAI đã được đặt cọc.

Ngoài ra, hợp đồng Blast Deposit có thể được nâng cấp bất cứ lúc nào thông qua hàm upgradeTo. Mặc dù điều này chủ yếu được sử dụng để sửa chữa các lỗ hổng tiềm ẩn, nhưng cũng có khả năng bị lạm dụng. So với đó, một dự án Layer2 nổi tiếng đã áp dụng cách tiếp cận cẩn thận hơn trong việc nâng cấp hợp đồng, việc sửa đổi hợp đồng trong trường hợp không khẩn cấp thường cần có thời gian trì hoãn 10 ngày và phải được quyết định bởi một hội đồng giao thức gồm nhiều người.

2. Tranh chấp đa chữ ký

Theo điều tra, quyền hạn của hợp đồng Blast Deposit được kiểm soát bởi một ví đa chữ ký 3/5. Cả 5 địa chỉ chữ ký đều là tài khoản mới được tạo ra cách đây 3 tháng, và thông tin danh tính của chúng chưa được công khai. Do toàn bộ hợp đồng thực tế là một hợp đồng ủy thác được bảo vệ bởi ví đa chữ ký, chứ không phải là cầu nối xuyên chuỗi tiêu chuẩn Rollup, điều này đã gây ra sự nghi ngờ từ cộng đồng và các nhà phát triển.

Nhóm Blast đã thừa nhận sự tồn tại của những rủi ro an ninh này và cho biết mặc dù hợp đồng thông minh không thể thay đổi thường được coi là an toàn hơn, nhưng chúng có thể ẩn chứa những lỗ hổng chưa được phát hiện. Trong khi đó, hợp đồng thông minh có thể nâng cấp cũng mang lại những rủi ro riêng, như nâng cấp hợp đồng và thời gian khóa có thể bị lợi dụng. Để giảm thiểu những rủi ro này, Blast cho biết sẽ sử dụng nhiều ví phần cứng để quản lý, nhằm tránh rủi ro tập trung.

Tuy nhiên, việc quản lý ví có thể hiệu quả trong việc tránh rủi ro trung tâm hóa và tấn công lừa đảo hay không, và liệu có quy trình quản lý hoàn chỉnh hay không, thì đội ngũ Blast vẫn chưa đưa ra câu trả lời rõ ràng. Đáng chú ý là, trước đây đã xảy ra nhiều sự kiện an toàn dẫn đến mất mát tài sản của người dùng do quản lý khóa riêng không đúng cách, ngay cả khi dự án sử dụng ví đa chữ ký hoặc công nghệ ví MPC.

Vào ngày 19 tháng 2, đội ngũ Blast đã thực hiện một bản cập nhật cho hợp đồng Deposit, chủ yếu thêm hợp đồng Predeploys và giới thiệu giao diện IERC20Permit, để chuẩn bị cho việc ra mắt trên mạng chính.

Những thách thức về an ninh mà hệ sinh thái Blast phải đối mặt

Vào ngày 25 tháng 2, một nền tảng phân tích chống rửa tiền đã phát hiện một dự án GambleFi trong hệ sinh thái Blast nghi ngờ xảy ra sự kiện RugPull, gây thiệt hại khoảng 500 đồng ETH. Tài khoản mạng xã hội chính thức của dự án hiện đã không thể truy cập.

Nhiều nhà đầu tư đã công khai chia sẻ trải nghiệm thua lỗ của họ. Họ cho biết, ban đầu họ coi dự án này là một cơ hội đầu tư triển vọng, chủ yếu vì đã thấy sự ủng hộ từ các dự án và đối tác uy tín trong hệ sinh thái Blast. Tuy nhiên, giai đoạn gọi vốn công khai sau đó đã biến thành một vòng huy động vốn không giới hạn, điều này đã khiến họ nghi ngờ về dự án.

Một công cụ phân tích trên chuỗi cho thấy, hiện tại hầu hết số tiền bị đánh cắp của dự án GambleFi đã được chuyển đến các nền tảng giao dịch khác nhau, một lượng nhỏ tiền đã được chuyển chuỗi sang các chuỗi công khai khác.

Tóm lại, mặc dù Blast thể hiện đà phát triển mạnh mẽ, nhưng những thách thức về an ninh mà nó đối mặt không thể bị xem nhẹ. Các nhà đầu tư cần giữ cảnh giác khi tham gia các dự án liên quan và đánh giá toàn diện các rủi ro tiềm ẩn.