로그인/ 가입하기

블라스트의 메인넷이 곧 출시될 예정이며, 보안 위험과 잠재적 기회를 분석합니다.

2024/02/27 15:06

따르다

출처: Beosin

최근 블라스트는 '빅뱅' 개발자 경쟁이 끝나면서 다시 한 번 시장의 '고기와 감자'가 되었으며, TVL이 20억 달러 이상으로 치솟으며 레이어2 레이스에서 그 자리를 차지했습니다. 레이어2 트랙은 레이어2의 세계에서 자리를 잡아가고 있습니다.

동시에 블라스트는 2월 29일에 메인 사이트를 오픈한다고 발표했고, '기대감의 에어드랍'으로 이미 대부분의 참가자를 사이트로 끌어들이며 일반 대중의 관심이 계속 이어졌습니다. <강>그러나 생태계가 발전함에 따라 다양한 프로젝트가 등장하고 있으며, 이에 따라 다양한 보안 위험도 발생하고 있습니다. 오늘은 순조로운 출발을 보이고 있는 블라스트의 급등세 뒤에 숨어 있는 보안 위험과 잠재적 기회에 대해 설명해드리겠습니다.

Blast의 역사

Blast는 2023년 11월 21일 블러의 설립자 팩맨이 출시했으며, 암호화폐 커뮤니티에서 빠르게 큰 주목을 받았습니다. 출시 48시간 만에 총 락인 가치(TVL)가 5억 7천만 달러에 달했고, 5만 명 이상의 사용자를 유치했습니다.

블라스트는 지난해 패러다임과 스탠다드 크립토 등 주요 후원사로부터 2천만 달러의 투자를 유치했고, 지난해 11월에는 일본 암호화폐 투자사 CGV로부터 5백만 달러를 추가로 투자받았습니다.

2월 25일 디뱅크 데이터에 따르면 현재 블라스트 컨트랙트 주소는 총 20억 달러 이상의 자산을 보유하고 있으며, 이 중 18억 달러 상당의 이더리움이 리도 프로토콜에 예치되어 있고 1억 6천만 달러 이상의 다이가 메이커다오 프로토콜에 예치되어 있어 시장에서의 뜨거운 인기를 실감할 수 있습니다.

디뱅크 데이터

Blast가 인기 있는 이유는 무엇인가요?

Blast는 다른 레이어2 솔루션에서는 찾아볼 수 없는 ETH와 스테이블코인에 대한 네이티브 수익률을 제공한다는 점에서 독특합니다. 사용자가 이더를 다른 레이어2로 전송하면 해당 레이어2는 이더를 스마트 콘트랙트에 잠그고 해당 레이어2 이더를 매핑하기만 하면, 블라스트는 사용자의 이더를 리도 이자에 예치하고 새로운 이자 지급 스테이블코인인 USDB(메이커다오를 통해 미국 국채를 구매하여 지급)를 블라스트 네트워크에 도입합니다.

또한 블러 팀이 출시한 레이어2는 자체 트래픽을 제공합니다. 이전까지 Blur는 광범위한 커뮤니티 기반을 가진 플랫폼 사용자들에게 2억 달러 이상의 에어드랍을 지급했으며, 현재 Blast는 트래픽 핵분열 마케팅을 통해 사용자들이 Blast 서약에 참여하도록 유도하기 위해 에어드랍을 장려하고 있습니다.

Blast 보안 위험

블라스트는 출시 이후 비판과 의문을 받아왔습니다. 2023년 11월 23일 Polygon Labs의 개발자 관계 엔지니어인 Jarrod Watts는 트위터에 블래스트의 중앙 집중성이 심각한 보안 위험을 초래할 수 있다고 지적했습니다. 사용자에게 심각한 보안 위험을 초래할 수 있습니다. 동시에 그는 Blast가 L2를 준수하지 않고 트랜잭션, 브리징, 롤업 또는 트랜잭션 데이터를 이더로 전송하는 기능이 부족하기 때문에 Blast를 레이어 2(L2) 네트워크로 분류하는 것에 대해 의문을 제기했습니다.

Blast는 얼마나 안전한가요? 보안 위험은 무엇인가요? 우리는 바오신의 보안 전문가들과 함께 바오신의 VaaS 도구로 블라스트 예치 계약서를 스캔하고 블라스트 예치 계약 코드를 분석했습니다.

베오신 VaaS

블래스트 디파짓 계약은 에이전트 계약 주소가 다음과 같은 확장 가능한 계약입니다. 0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47d이며, 논리적 계약 주소는 현재 0x0bD88b59D580549285f0A207Db5F06bf24a8e561이며, 주요 위험 요소는 다음과 같습니다:

1. . 중앙 집중식 위험

블래스트 예치 계약의 가장 중요한 enableTransition 함수는 계약의 관리자 주소로만 호출할 수 있습니다. 또한 이 함수는 모든 이더와 다이에 접근할 수 있는 메인넷브릿지 컨트랙트의 주소를 인수로 받습니다.

code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F1#L230

또한, Blast 예치 계약은 업그레이드하기 기능을 사용하여 언제든지 업그레이드할 수 있습니다. 이 기능은 주로 계약의 취약점을 수정하는 데 사용되지만 악용될 가능성도 있습니다. 현재 Polygon zkEVM은 긴급하지 않은 수정에 대해 10일의 지연 시간을 두고 13명으로 구성된 이사회가 수정 사항을 결정하는 등 계약 업그레이드를 비교적 잘 수행하고 있습니다.

코드:https:// etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F2#L78

2. 다중 서명 분쟁

블래스트 예금 계약을 살펴보면 계약 권한은 노시스 세이프 3/5 다중 서명 지갑 0x67CA7Ca75b69711cfd48B44eC3F64E469BaF608C에 의해 제어되고 있음을 알 수 있습니다. The 5 signature addresses are:

0x49d495DE356259458120bfd7bCB463CFb6D6c6BA

0xb7c719eB2649c1F03bFab68b0AAa35AD538a7cC8

0x1f97306039530ADB4173C3786e86fab5e6b90F41

0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11

0x46e31F27Df5047D7Fad9b1E8DFFec635cF6efAcF

이 5개의 주소는 모두 3개월 전에 신원을 알 수 없는 새 주소입니다. 전체 컨트랙트가 롤업 브릿지가 아닌 다중 서명 지갑을 통해 보호되는 호스팅 컨트랙트이기 때문에, 블라스트는 커뮤니티와 개발자들로부터 많은 회의적인 반응을 받았습니다.

Blast는 이러한 일련의 보안 위험을 인정하고 불변 스마트 컨트랙트는 안전한 것으로 간주되지만 탐지되지 않은 취약점을 숨길 수 있다고 말했습니다. 또한 확장 가능한 스마트 컨트랙트는 컨트랙트 업그레이드와 쉽게 악용할 수 있는 시간 잠금과 같은 자체적인 위험을 내포하고 있습니다. 이러한 위험을 완화하기 위해 Blast는 여러 하드웨어 지갑을 사용해 관리하고 중앙화 위험을 피합니다.

그러나 중앙화 및 피싱 공격을 피하기 위해 지갑을 관리할지 여부와 잘 정립된 관리 프로세스가 있는지에 대해서는 아직 발표하지 않았습니다. 이전에 발생한 두 건의 보안 사고인 로닌 브릿지(Ronin Bridge)와 멀티체인에서는 프로젝트 소유자가 다중 서명 지갑 또는 MPC 지갑을 사용했지만, 개인 키 관리의 중앙 집중화로 인해 사용자 자산이 손실된 바 있습니다.

2월 19일, 블라스트 팀은 예치 계약에 대한 업데이트를 진행했습니다. 이 업데이트는 메인 웹사이트에 대비하여 사전 배포 컨트랙트를 추가하고 IERC20Permit 인터페이스를 도입했습니다.

Blast Eco Risk

2월 25일, 바오신 KYT AML 분석 플랫폼은 약 500 ETH를 잃은 것으로 의심되는 Blast Eco GambleFi 프로젝트 리스크(@riskonblast)를 모니터링했습니다. 500 ETH. 공식 X 계정은 현재 존재하지 않는 것으로 표시됩니다.

문캣2878과 같은 투자자들도 개인적 손실을 공유했습니다. MoonCat2878은 블라스트 생태계 내에서 평판이 좋은 프로젝트와 파트너를 보고 처음에 리스크온블라스트를 유망한 투자 기회로 여겼다고 회상했습니다. 하지만 이후 진행된 공모가 한도 제한이 없는 펀딩 라운드로 바뀌었고, 이로 인해 리스크가 게임파이 프로젝트라는 사실을 의심하게 되었다고 합니다.