ログイン/ 登録

ブラストのメインネットが稼動間近、そのセキュリティリスクと潜在的機会を分析

2024/02/27 15:06

従う

出典：Beosin

最近、Blastは再び市場の「肉じゃが」となり、「ビッグバン」開発者競争の終了とともに、そのTVLは20億ドル以上に高騰し、Layer2レースでその地位を占めています。Layer2トラックはLayer2の世界でその地位を確立しつつある。

同時に、Blastは2月29日にメインサイトでライブを開始することも発表した。"期待の空中投下 "がすでに参加者のほとんどをサイトに引きつけることに成功していたため、一般ユーザーからの継続的な関心につながった。しかし、エコシステムが発展するにつれ、様々なプロジェクトが出現し、それはまた様々なセキュリティ・リスクにもつながっている。本日は、好調なスタートを切ったブラストのTVL高騰の裏に潜むセキュリティリスクと潜在的なビジネスチャンスについて、ベオシンが解説します。

Blastの歴史

Blastは、2023年11月21日にBlurの創設者パックマンによって立ち上げられ、瞬く間に暗号コミュニティで広く注目を集めました。ローンチから48時間以内に、このネットワークは5億7000万ドルの総ロックイン値（TVL）に達し、5万人以上のユーザーを魅了しました。

Blastは昨年、ParadigmやStandard Cryptoといった主要な支援者から2000万ドルの資金提供を受け、昨年11月には日本の暗号通貨投資会社CGVからさらに500万ドルの投資を受けました。

2月25日のDeBankのデータによると、Blast contract addressは現在、総額20億ドル以上の資産を保有しており、そのうち18億ドル相当のETHがLidoプロトコルに、1億6000万ドル以上のDAIがMakerDAOプロトコルに入金されており、市場での注目度の高さがうかがえます。

DeBankデータ

なぜブラストはこれほど熱いのか？

Blastがユニークなのは、他のLayer2ソリューションにはない、ETHとステイブルコインのネイティブ利回りを提供している点です。ユーザーがETHを他のLayer2に送金する際、それらのLayer2は単にETHをスマートコントラクトにロックし、対応するLayer2のETHをマッピングするだけですが、BlastはユーザーのETHをLido interestに入金し、新しい利付安定コインUSDB（MakerDAOを通じて米国債を購入することで支払われる）をBlastネットワークに導入します。

さらに、Blurチームによって立ち上げられたLayer2は、独自のトラフィックを伴っている。これまでBlurは、幅広いコミュニティ基盤を持つプラットフォームのユーザーに2億ドル以上のエアドロップを配布してきましたが、今回Blastは、トラフィック分裂マーケティングを通じて、ユーザーがBlastの誓約に参加するようエアドロップにインセンティブを与えています。

ブラストのセキュリティリスク

ブラストは、サービス開始以来、批判や疑問の声が上がっています。2023年11月23日、Polygon LabsのデベロッパーリレーションズエンジニアであるJarrod Watts氏は、ブラストの中心性がユーザーに深刻なセキュリティリスクをもたらす可能性があるとツイートしました。ユーザーに深刻なセキュリティリスクをもたらす可能性がある。同時に彼は、Blastがレイヤー2 (L2) ネットワークとして分類されることに疑問を呈しました。なぜならBlastはL2に準拠しておらず、トランザクション、ブリッジング、ロールアップ、またはイーサへのトランザクションデータの送信のための機能を欠いているからです。

ブラストの安全性は？セキュリティリスクは何ですか？Beosin VaaSツールでブラストデポジット契約をスキャンし、Beosinのセキュリティ専門家とブラストデポジット契約コードを分析しました。

Beosin VaaS

ブラストデポジットコントラクトは、エージェントコントラクトアドレスが0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47dであり、論理契約アドレスは現在0x0bD88b59D580549285f0A207Db5F06bf24a8e561です。集中リスク

最も重要なBlast Deposit契約のenableTransition関数は、契約の管理アドレスによってのみ呼び出すことができます。

code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F1#L230

さらに、Blast!預金契約は、upgradeTo関数を使っていつでもアップグレードできます。これは主に契約の脆弱性を修正するために使用されますが、いたずらの可能性もあります。現在、Polygon zkEVM は契約のアップグレードを比較的よく行っており、緊急でない修正には 10 日間の遅延があり、13 人のメンバーからなる理事会が修正を決定しています。

code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F2#L78

2. マルチ署名論争

ブラストデポジットの契約を見てみると、その契約パーミッションは、Gnosis Safe 3/5マルチシグネチャウォレット0x67CA7Ca75b69711cfd48B44eC3F64E469BaF608Cによって制御されていることがわかります。The 5 signature addresses are:

0x49d495DE356259458120bfd7bCB463CFb6D6c6BA

0xb7c719eB2649c1F03bFab68b0AAa35AD538a7cC8

0x1f97306039530ADB4173C3786e86fab5e6b90F41

0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11

0x46e31F27Df5047D7Fad9b1E8DFec635cF6efAcF

これら5つのアドレスはすべて、身元不明の3ヶ月前に作成された新しいアドレスです。契約全体が実際にはマルチシグネチャウォレットを通して保護されたホストされた契約であり、ロールアップブリッジではないため、ブラストはコミュニティや開発者から多くの懐疑的な意見を受けています。

Blast はこの一連のセキュリティリスクを認め、不変のスマートコントラクトは安全だと考えられているが、検出されない脆弱性が隠されている可能性があると述べた。また、スケーラブルなスマートコントラクトは、コントラクトのアップグレードや容易に悪用可能なタイムロックなど、独自のリスクをもたらします。これらのリスクを軽減するため、Blastは複数のハードウェアウォレットを管理に使用し、集中化のリスクを回避している。

しかし、集中化やフィッシング攻撃を避けるためにウォレットが管理されるかどうか、また確立された管理プロセスがあるかどうかは、ブラストはまだ発表していない。Ronin BridgeとMultichainという過去の2つのセキュリティ事件では、プロジェクトオーナーはマルチシグネチャ・ウォレットかMPCウォレットを使用したが、秘密鍵管理の中央集権化によってユーザーの資産が失われた。

2月19日、BlastチームはDeposit契約にアップデートを行いました。このアップデートにより、Predeploysコントラクトが追加され、メインウェブサイトの準備としてIERC20Permitインターフェイスが導入されました。

ブラストエコリスク

2月25日、Beosin KYT AML分析プラットフォームは、ブラストエコギャンブルファイプロジェクトリスク（@riskonblast）のRugRullの疑いを監視し、約500ETHの損失がありました。500ETH。その公式Xアカウントは現在存在しないと表示されています。

MoonCat2878 などの投資家も個人的な損失を共有している。MoonCat2878は、ブラストエコシステム内の評判の良いプロジェクトやパートナーを見て、当初はRiskOnBlastを有望な投資機会だと考えていたと語っています。しかし、その後の公募は上限なしの資金調達ラウンドとなり、GameFiプロジェクトとしてのRiskに疑念を抱くようになった。