Blast主网即将上线，技术解析潜在风险与机遇

近期，Blast成为市场焦点，随着其"Big Bang"开发者竞赛落幕，其总锁仓价值(TVL)持续上涨，突破20亿美元大关，在Layer2领域占据重要地位。

Blast宣布将于2月29日启动主网，引发广泛关注，"空投预期"成功吸引大量参与者。然而，随着生态系统的发展，各类项目不断涌现，同时也带来了一系列安全隐患。本文将深入分析Blast的强劲开局，探讨其TVL飙升背后的安全风险及潜在机会。

Blast发展历程

Blast由Pacman于2023年11月21日推出，迅速引起加密社区广泛关注。上线48小时内，网络TVL达5.7亿美元，吸引超5万用户。

去年，Blast获得主要投资者2000万美元融资，随后又获得某加密货币投资公司500万美元投资。

截至2月25日，数据显示Blast合约地址当前持有资产总价值超20亿美元，其中18亿美元ETH存入某质押协议，超1.6亿美元DAI存入某借贷协议，彰显其市场热度。

Blast为何如此受欢迎？

Blast的独特之处在于提供ETH和稳定币的原生收益率，这是其他Layer2解决方案所不具备的特点。用户将ETH转移至Blast时，Blast会将用户的ETH存入质押协议生息，并引入新的生息稳定币USDB（通过购买美国国债获得收益）到Blast网络。

此外，作为某NFT交易平台团队推出的Layer2，Blast自带流量优势。之前该平台向用户发放超2亿美元空投，已积累广泛社区基础。目前Blast正进行空投激励，通过流量裂变营销吸引用户参与质押。

Blast安全风险分析

自推出以来，Blast面临诸多批评和质疑。有开发者指出Blast的中心化可能给用户带来严重安全风险，同时质疑其是否符合L2标准，因其缺乏交易、桥接、Rollup等功能。

通过安全工具扫描Blast Deposit合约，结合专家分析，我们对其代码进行了深入解读。Blast Deposit合约为可升级合约，其代理合约地址为0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47d，当前逻辑合约地址为0x0bD88b59D580549285f0A207Db5F06bf24a8e561。主要风险点如下：

1. 中心化风险

Blast Deposit合约的关键函数enableTransition只能由合约管理员调用，该函数以mainnetBridge合约地址为参数，而mainnetBridge合约可访问所有质押的ETH和DAI。

此外，Blast Deposit合约可随时通过upgradeTo函数升级。虽然主要用于修复漏洞，但也存在潜在风险。相比之下，某zkEVM在合约升级方面更为谨慎，非紧急情况下修改合约需10天延迟，且需由13人组成的协议理事会决定。

2. 多签争议

Blast Deposit合约权限由一个3/5多签钱包控制。这5个签名地址均为3个月前创建的新地址，身份未知。由于整个合约实际是通过多签钱包保护的托管合约，而非Rollup桥，引发了社区和开发者的质疑。

Blast承认了这些安全风险，表示不可变智能合约虽被认为安全，但可能隐藏未检测到的漏洞。可升级智能合约也带来自身风险，如合约升级和时间锁漏洞。为减轻风险，Blast计划使用多种硬件钱包进行管理，以避免中心化风险。

然而，钱包管理是否能有效避免中心化和钓鱼攻击，是否有完善的管理流程，Blast尚未公布详情。过去某些项目尽管使用了多签或MPC钱包，却因私钥管理中心化导致用户资产损失。

2月19日，Blast团队更新了Deposit合约，主要添加了Predeploys合约并引入IERC20Permit接口，为主网上线做准备。

Blast生态安全事件

2月25日，某反洗钱分析平台监测到Blast生态GambleFi项目Risk疑似发生RugPull，损失约500枚ETH。该项目官方社交账号已不存在。

多位投资者分享了个人损失经历。有投资者表示，他们最初将Risk视为有前景的投资机会，但后续的无上限公开发售引发了怀疑。

资金追踪显示，Risk项目被盗资金大部分已转移至不同交易所，小部分已跨链至其他网络。