Blast主网即将上线，技术角度剖析安全风险与发展前景

近期，Blast再次成为市场焦点。随着其"Big Bang"开发者竞赛落幕，Blast的总锁仓价值(TVL)持续攀升，一度突破20亿美元大关，在Layer2赛道上占据重要地位。

Blast宣布将于2月29日启动主网，引发了广泛关注。众多参与者被"空投预期"吸引，纷纷加入观望行列。然而，伴随其生态系统的迅速扩张，各类项目层出不穷，同时也带来了不少安全隐患。本文将深入解析Blast的发展历程、TVL飙升背后的潜在风险及未来机遇。

Blast发展历程回顾

Blast由Pacman于2023年11月21日推出，迅速在加密社区引起轰动。上线仅48小时内，网络TVL就达到5.7亿美元，吸引了超过5万名用户参与。

去年，Blast获得了Paradigm和Standard Crypto等知名机构提供的2000万美元融资。紧接着在11月，又获得了日本加密货币投资公司CGV的500万美元投资。

最新数据显示，Blast合约地址当前持有资产总价值已超过20亿美元，其中约18亿美元ETH存入Lido协议，超过1.6亿美元DAI存入MakerDAO协议，充分体现了其在市场上的火热程度。

Blast为何如此受欢迎？

Blast的独特之处在于提供ETH和稳定币的原生收益率，这是其他Layer2解决方案所不具备的特点。用户将ETH转移至Blast时，Blast会将用户的ETH存入Lido生息，并引入新的生息稳定币USDB（该稳定币将通过MakerDAO购买美国国债获得收益）到Blast网络。

此外，作为知名项目团队推出的Layer2，Blast自带流量优势。之前该团队曾向平台用户发放超过2亿美元的空投，已经建立了广泛的社区基础。结合当前Blast的空投激励计划，通过流量裂变的营销策略吸引了大量用户参与Blast质押。

Blast安全风险分析

自推出以来，Blast一直面临着批评和质疑。2023年11月23日，某知名公司的开发者关系工程师公开表示，Blast的中心化程度可能会给用户带来严重的安全隐患。同时，他还质疑Blast将自身定位为第2层(L2)网络的合理性，认为Blast不符合L2标准，缺乏交易、桥接、Rollup或向以太坊发送交易数据等关键功能。

通过对Blast Deposit合约代码的深入分析，我们发现以下主要风险点：

1. 中心化风险

Blast Deposit合约中的关键函数enableTransition只能由合约的admin地址调用。该函数以mainnetBridge合约地址作为参数，而mainnetBridge合约可以访问所有质押的ETH和DAI。

此外，Blast Deposit合约可以随时通过upgradeTo函数进行升级。虽然这主要用于修复合约漏洞，但也存在潜在的滥用风险。相比之下，其他Layer2项目在合约升级方面采取了更为谨慎的措施，如设置延迟期和多方决策机制。

2. 多签管理争议

Blast Deposit合约的权限由一个3/5多签钱包控制。这5个签名地址均为3个月前新建的地址，身份不明。由于整个合约实际上是通过多签钱包保护的托管合约，而非真正的Rollup桥，Blast因此受到了社区和开发者的质疑。

Blast团队承认了这些安全风险的存在，并表示虽然不可变的智能合约被认为更安全，但它们可能隐藏未被发现的漏洞。可升级的智能合约也带来了自身的风险，如合约升级和容易被利用的时间锁。为降低这些风险，Blast计划使用多种硬件钱包进行管理，以减少中心化风险。

然而，钱包管理能否有效避免中心化和钓鱼攻击，是否有完善的管理流程，这些问题Blast目前尚未给出明确答复。过去的一些安全事件表明，即使使用多签钱包或MPC钱包，由于私钥管理的中心化问题，仍可能导致用户资产损失。

2月19日，Blast团队对Deposit合约进行了更新，主要添加了Predeploys合约并引入IERC20Permit接口，为主网上线做准备。

Blast生态系统安全事件

近期，Blast生态中的一个GambleFi项目Risk疑似发生了RugPull事件，造成约500枚ETH的损失。该项目的官方社交媒体账号已无法访问。

有投资者分享了他们的损失经历。他们最初将RiskOnBlast视为一个有前景的投资机会，但后来的无限制公开融资引发了怀疑。

根据链上数据分析，被盗资金大部分已转移至不同交易所，少量资金已跨链至其他网络。

这一事件再次提醒投资者在参与新兴生态系统项目时需保持谨慎，做好风险评估和资产管理。