Blast está a punto de lanzar su red principal. ¿Cuáles son sus riesgos de seguridad y oportunidades potenciales?

Recientemente, Blast se ha convertido en un tema candente en el mercado de las criptomonedas. Con el final de su competencia Big Bang, su TVL ha superado los 2 mil millones de dólares.
Blast anunció que lanzará su red principal el 29 de febrero. La anticipación de su lanzamiento aéreo ha atraído con éxito a muchos usuarios. Sin embargo, con el desarrollo de su ecosistema, surgen uno tras otro varios proyectos, lo que también conduce a la frecuente aparición de diversos riesgos de seguridad. Beosin le explicará los riesgos de seguridad y las posibles oportunidades detrás de Blast.
¿Qué es Blast?
Blast es una capa 2 lanzada por Pacman, fundador de Blur, el 21 de noviembre de 2023 y rápidamente ganó una atención generalizada en la comunidad criptográfica. A las 48 horas del lanzamiento de Blast, el TVL alcanzó los 570 millones de dólares y atrajo a más de 50.000 usuarios.
Blast recibió 20 millones de dólares en financiación de importantes patrocinadores como Paradigm y Standard Crypto el año pasado, seguido de otra inversión de 5 millones de dólares de la empresa japonesa de inversión en criptomonedas CGV en noviembre del año pasado.
Según datos de DeBank del 25 de febrero, el valor total de los activos actualmente en poder del contrato Blast supera los 2 mil millones de dólares, de los cuales 1,8 mil millones de dólares en ETH están depositados en el protocolo Lido, y más de 160 millones de dólares en DA. estoy depositado en el protocolo MakerDAO.
¿Por qué es tan popular Blast?
Blast es único porque proporciona rendimientos nativos en ETH y monedas estables. Cuando los usuarios transfieren ETH a otra Capa 2, estas Capas 2 solo bloquearán los tokens ETH en sus contratos inteligentes y asignarán el ETH de Capa 2 correspondiente a los usuarios, mientras que Blast depositará el ETH de los usuarios en Lido para ganar intereses e introducir una nueva moneda estable que devenga intereses llamada USD. B ( La moneda estable se utilizará para comprar bonos del Tesoro de EE. UU. a través de MakerDAO) a la red Blast.
Además, Blast es una capa 2 lanzada por el equipo de Blur. Blur ya ha lanzado desde el aire más de 200 millones de dólares a sus usuarios. Ya tiene una amplia base comunitaria. Además, Blast actualmente lleva a cabo incentivos de lanzamiento aéreo para atraer a los usuarios a participar en las apuestas de Blast.
Explosión de riesgos de seguridad
Blast ha sido recibido con críticas y escepticismo desde su lanzamiento. El 23 de noviembre de 2023, Jarrod Watts, ingeniero de relaciones con desarrolladores de Polygon Labs, tuiteó que la centralización de Blast puede plantear graves riesgos de seguridad para los usuarios. También cuestionó la clasificación de Blast como red de capa 2 porque Blast no cumple con el estándar L2 y carece de funciones como transacciones, puentes, rollup o envío de datos de transacciones a Ethereum.
¿Qué tan seguro es Blast? ¿Cuáles son los riesgos de seguridad de Blast? Esta vez escaneamos el contrato de Blast Deposit a través de la herramienta Beosin VaaS y combinamos el análisis de los expertos en seguridad de Beosin para interpretar el código del contrato de Blast Deposit.
El contrato de depósito explosivo es un contrato actualizable. La dirección de su contrato de proxy es 0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47d. La dirección de su contrato de implementación es 0x0bD88b59D580549285f0A207Db5F06bf24a8e561. Los principales puntos de riesgo son los siguientes:
1. Riesgo de centralización 
El enableTransition() más importante del contrato de Blast Deposit solo puede ser llamado por la dirección de administrador del contrato. Además, esta función toma la dirección del contrato mainnetBridge como parámetro y el contrato mainnetBridge puede acceder a todos los ETH y DAI apostados.
Además, el contrato de depósito explosivo se puede actualizar en cualquier momento mediante upgradeTo(). Esto se utiliza principalmente para solucionar vulnerabilidades de contratos, pero también existe la posibilidad de hacer el mal. En la actualidad, Polygon zkEVM ha realizado un trabajo relativamente completo en la actualización del contrato. La modificación del contrato en situaciones que no son de emergencia generalmente requiere un retraso de 10 días y las modificaciones del contrato deben ser decididas por el Consejo de 13 miembros.
2. Disputas de firmas múltiples
Al observar el contrato de depósito explosivo, podemos ver que el contrato está controlado por una billetera multifirma Gnosis Safe 3/5 0x67CA7Ca75b69711cfd48B44eC3F64E469BaF608C.
Estas 5 direcciones de firma son:
0x49d495DE356259458120bfd7bCB463CFb6D6c6BA
0xb7c719eB2649c1F03bFab68b0AAa35AD538a7cC8
0x1f97306039530ADB4173C3786e86fab5e6b90F41
0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11
0x46e31F27Df5047D7Fad9b1E8DFFec635cF6efAcF
Estas direcciones son todas direcciones nuevas creadas hace 3 meses y se desconocen sus identidades. Dado que todo el contrato es en realidad un contrato de custodia protegido por una billetera con múltiples firmas, muchos usuarios y desarrolladores han cuestionado Blast.
Blast reconoció este conjunto de riesgos de seguridad y dijo que, si bien los contratos inteligentes inmutables se consideran seguros, pueden ocultar vulnerabilidades no detectadas. Los contratos inteligentes actualizables también conllevan sus propios riesgos, como actualizaciones de contratos y bloqueos de tiempo fácilmente explotables. Para mitigar estos riesgos, Blast utilizará una variedad de carteras de hardware para la gestión y evitar riesgos de centralización.
Sin embargo, Blast aún no ha anunciado si la administración de billetera puede evitar la centralización y los ataques de phishing, y si existe un proceso de administración completo. En los dos incidentes de seguridad anteriores de Ronin Bridge y Multichain, aunque las partes del proyecto utilizaron billeteras multifirma o billeteras MPC, la centralización de la gestión de claves privadas resultó en pérdidas de activos de los usuarios.
El 19 de febrero, el equipo de Blast realizó una actualización del contrato de Depósito. Esta actualización agrega principalmente el contrato de preimplementación e introduce la interfaz IERC20Permit para prepararse para el lanzamiento de la red principal.
Riesgo de explosión del ecosistema
El 25 de febrero, la plataforma de análisis contra el lavado de dinero Beosin KYT detectó que Risk(@riskonblast), un proyecto GambleFi en Blast, era sospechoso de tener un RugRull, con una pérdida que ascendía a aproximadamente 500 ETH. En la actualidad, su cuenta oficial X no existe.
Inversores como MoonCat2878 también compartieron sus pérdidas personales. MoonCat2878 contó cómo inicialmente vieron RiskOnBlast como una oportunidad de inversión prometedora después de ver proyectos y socios acreditados dentro del ecosistema de Blast. Sin embargo, la posterior venta pública se convirtió en una ronda de financiación sin límites, lo que despertó sus dudas sobre Risk como proyecto de GameFi.
El monitoreo de Beosin Trace muestra que actualmente la mayoría de los fondos robados del proyecto Risk del juego ecológico Blast se han transferido a diferentes intercambios, y una pequeña parte de los fondos robados se han encadenado de forma cruzada a Arbitrum y Cosmos.
Beosin ha lanzado un servicio de auditoría para el ecosistema BlastEl 24 de febrero, los funcionarios de Blast también anunciaron la lista de proyectos seleccionados para el evento Big Bang. Esta lista contiene más de 100 proyectos, incluidos préstamos, juegos y proyectos de infraestructura.
Actualmente, Beosin ha lanzado un plan de auditoría específicamente para el ecosistema Blast. A través de verificación formal y auditorías de expertos en seguridad, ayuda a las partes del proyecto a reparar los riesgos de seguridad en el proyecto y garantiza la seguridad de los activos de los usuarios y los proyectos. Los principales elementos de la auditoría de seguridad incluyen:
•Vulnerabilidad de desbordamiento
•Ataque de reentrada
•Problema con números aleatorios
•Negación de servicio
•Control de acceso
•Permisos inadecuados
• Anulación de variables
•Diseño empresarial
•Realización de negocios
•Ataque de arbitraje
•Llamada de función
•Optimización del gas
•Actualizar la seguridad
•Riesgo de centralización
•Seguridad de módulos de terceros
A través de la solución de auditoría de Beosin, los proyectos en Blast pueden identificar y reparar posibles vulnerabilidades y riesgos de seguridad para garantizar la estabilidad y seguridad de sus contratos y sistemas inteligentes. Esto no solo protege los activos de los usuarios, sino que también les proporciona una experiencia más confiable, promoviendo aún más el desarrollo seguro del ecosistema Blast. Bienvenidos los proyectos en Blast que vienen para consulta.