Blast is about to launch its mainnet. What are its security risks and potential opportunities?

Recently, Blast has become a hot topic in the crypto market. With the end of its Big Bang Competition, its TVL has exceeded $2 billion.
Blast announced that it will launch its mainnet on February 29. The anticipation of its airdrop has successfully attracted many users. However, with the development of its ecosystem, various projects emerge one after another, which also leads to the frequent occurrence of various security risks. Beosin will explain to you the security risks and potential opportunities behind Blast.
What is Blast?
Blast is a Layer2 launched by Pacman, Blur founder, on November 21, 2023 and quickly gained widespread attention in the crypto community. Within 48 hours of Blast launch, the TVL reached $570 million and attracted over 50,000 users.
Blast received $20 million in financing from major backers such as Paradigm and Standard Crypto last year, followed by another $5 million investment from Japanese cryptocurrency investment company CGV in November last year.
According to DeBank data on February 25, the total value of assets currently held by the Blast contract exceeds 2 billion dollars, of which 1.8 billion dollars worth of ETH are deposited in the Lido protocol, and more than 160 million dollars of DAI are deposited in the MakerDAO protocol.
Why is Blast so popular?
Blast is unique in that it provides native yields on ETH and stablecoins. When users transfer ETH to other Layer2, these Layer2 will only lock ETH tokens into their smart contracts and map the corresponding Layer2 ETH to users while Blast will deposit users' ETH into Lido to earn interest and introduce a new interest-bearing stablecoin called USDB (the stablecoin will be used to purchase U.S. Treasury bonds through MakerDAO) to the Blast network.
In addition, Blast is a Layer2 launched by the Blur team. Blur has previously airdropped more than 200 million dollars to their users. It already has a broad community base. In addition, Blast currently conducts airdrop incentives to attract users to participate in Blast staking.
Blast security risks
Blast has been met with criticism and skepticism since its launch. On November 23, 2023, Jarrod Watts, a developer relations engineer at Polygon Labs, tweeted that Blast’s centralization may pose serious security risks to users. He also questioned Blast’s classification as a layer2 network because Blast does not meet the L2 standard and lacks functions such as transactions, bridging, rollup, or sending transaction data to Ethereum.
How safe is Blast? What are the security risks of Blast? This time we scanned the Blast Deposit contract through the Beosin VaaS tool and combined the analysis of Beosin security experts to interpret the Blast Deposit contract code.
The Blast Deposit contract is an upgradeable contract. Its proxy contract address is 0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47d. Its implementation contract address is 0x0bD88b59D580549285f0A207Db5F06bf24a8e561. The main risk points are as follows:
1. Centralization risk
The most important enableTransition() of the Blast Deposit contract can only be called by the admin address of the contract. In addition, this function takes the mainnetBridge contract address as a parameter and the mainnetBridge contract can access all staked ETH and DAI.
In addition, the Blast Deposit contract can be upgraded at any time through the upgradeTo(). This is mainly used to fix contract vulnerabilities, but there is also the possibility of doing evil. At present, Polygon zkEVM has done a relatively complete job in upgrading the contract. Modifying the contract in non-emergency situations generally requires a 10-day delay and contract modifications need to be decided by the 13-member Council.
2. Multiple signature disputes
Looking at the Blast Deposit contract, we can see that the contract is controlled by a Gnosis Safe 3/5 multi-signature wallet 0x67CA7Ca75b69711cfd48B44eC3F64E469BaF608C. 
These 5 signature addresses are:
0x49d495DE356259458120bfd7bCB463CFb6D6c6BA
0xb7c719eB2649c1F03bFab68b0AAa35AD538a7cC8
0x1f97306039530ADB4173C3786e86fab5e6b90F41
0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11
0x46e31F27Df5047D7Fad9b1E8DFFec635cF6efAcF
These addresses are all new addresses created 3 months ago, and their identities are unknown. Since the entire contract is actually a custody contract protected by a multi-signature wallet, Blast has been questioned by many users and developers.
Blast acknowledged this set of security risks, saying that while immutable smart contracts are considered secure, they may hide undetected vulnerabilities. Upgradeable smart contracts also bring their own risks, such as contract upgrades and easily exploitable time locks. In order to mitigate these risks, Blast will use a variety of hardware wallets for management to avoid centralization risks.
However, Blast has not yet announced whether wallet management can avoid centralization and phishing attacks, and whether there is a complete management process. In the two previous security incidents of Ronin Bridge and Multichain, although the project parties used multi-signature wallets or MPC wallets, the centralization of private key management resulted in user asset losses.
On February 19, the Blast team made an update to the Deposit contract. This update mainly adds the predeploys contract and introduces the IERC20Permit interface to prepare for the mainnet launch.
Blast ecosystem risk
On February 25, the Beosin KYT anti-money laundering analysis platform detected that Risk (@riskonblast), a GambleFi project on Blast, was suspected of having a RugRull, with the loss amounting to approximately 500 ETH. At present, its official X account does not exist.
Investors like MoonCat2878 also shared their personal losses. MoonCat2878 recounted how they initially viewed RiskOnBlast as a promising investment opportunity after seeing reputable projects and partners from within the Blast ecosystem. However, the subsequent public sale turned into an uncapped financing round, which aroused their doubts about Risk as a GameFi project. 
Beosin Trace monitoring shows that currently most of the stolen funds from the Blast ecological game Risk project have been transferred to different exchanges, and a small part of the stolen funds have cross-chained to Arbitrum and Cosmos. 
Beosin has launched audit service for the Blast ecosystemOn February 24, Blast officials also announced the list of projects selected for the Big Bang event. This list contains more than 100 projects, including lending, games, and infrastructure projects. 
At present, Beosin has launched an audit plan specifically for the Blast ecosystem. Through formal verification and security expert audits, it assists project parties in repairing security risks in the project and ensures the asset security of users and projects. The main security audit items include:
•Overflow vulnerability
•Reentrancy attack
•Random number problem
•Denial of service
•Access control
•Improper permissions
•Variable override
•Business design
•Business realization
•Arbitrage attack
•Function Call
•Gas optimization
•Upgrade security
•Centralization risk
•Security of third-party modules
Through Beosin's audit solution, projects on Blast can identify and repair potential vulnerabilities and security risks to ensure the stability and security of its smart contracts and systems. This not only protects users' assets, but also provides users with a more reliable experience, further promoting the safe development of the Blast ecosystem. Welcome the projects on Blast to come for consultation.