Blast生态发展迅猛，安全风险不容忽视

近期，Blast再度成为市场焦点。随着其"Big Bang"开发者竞赛圆满落幕，Blast的总锁仓价值(TVL)持续攀升，一度突破20亿美元大关，在Layer2赛道上占据重要地位。

Blast宣布将于2月29日推出主网，这一消息更是引发广泛关注。然而，伴随其生态系统的蓬勃发展，各类项目如雨后春笋般涌现，同时也带来了不容忽视的安全隐患。

Blast的崛起之路

Blast于2023年11月21日问世，迅速在加密社区掀起热潮。上线仅48小时，网络TVL便达到5.7亿美元，吸引了超过5万名用户参与。

去年，Blast先后获得了2000万美元和500万美元的融资支持，投资方包括知名机构Paradigm、Standard Crypto以及日本加密货币投资公司CGV。

截至2月25日，数据显示Blast合约地址当前管理的资产总值超过20亿美元，其中约18亿美元的ETH存入Lido协议，逾1.6亿美元的DAI存入MakerDAO协议，充分体现了其在市场上的火热程度。

Blast为何如此受欢迎？

Blast的独特之处在于为ETH和稳定币提供原生收益率，这是其他Layer2解决方案所不具备的特点。当用户将ETH转移至Blast时，这些资金会被存入Lido获取收益，同时引入新的生息稳定币USDB（通过MakerDAO购买美国国债获得收益）到Blast网络。

此外，作为知名NFT交易平台Blur团队推出的Layer2项目，Blast天然具备强大的流量基础。加上当前的空投激励机制，通过流量裂变的营销策略吸引了大量用户参与Blast生态。

Blast存在的安全隐患

尽管备受追捧，Blast自推出以来也面临诸多质疑和批评。有开发者指出，Blast的中心化程度可能给用户带来严重的安全风险。同时，有人质疑Blast是否符合Layer2的标准定义，因为它缺乏交易、桥接、Rollup或向以太坊发送交易数据等关键功能。

通过对Blast Deposit合约的代码分析，我们发现以下主要风险点：

1. 中心化风险

Blast Deposit合约中的关键功能enableTransition只能由合约管理员调用。该函数可设置mainnetBridge合约地址，而mainnetBridge合约能够访问所有质押的ETH和DAI。

此外，Blast Deposit合约可随时通过upgradeTo函数进行升级。虽然这主要用于修复潜在漏洞，但也存在被滥用的可能性。

2. 多签管理争议

Blast Deposit合约的权限由一个3/5多签钱包控制，这5个签名地址均为近期创建的新地址，身份不明。由于整个合约实际上是通过多签钱包保护的托管合约，而非传统的Rollup桥，因此引发了社区和开发者的质疑。

Blast团队承认了这些安全隐患的存在，并表示将采用多种硬件钱包进行管理，以降低中心化风险。然而，钱包管理的具体细节和安全流程尚未公开。

值得注意的是，2月19日Blast团队对Deposit合约进行了更新，主要是为即将到来的主网上线做准备。

Blast生态项目风险事件

近日，Blast生态中的GambleFi项目Risk疑似发生跑路事件，造成约500枚ETH的损失。该项目的官方社交媒体账号已无法访问。

有投资者表示，他们最初被Risk项目的前景所吸引，但后续的无限制融资引发了怀疑。目前，大部分被盗资金已转移至不同交易所，小部分资金已跨链至其他网络。

随着Blast生态的快速发展，项目方需要更加重视安全性和去中心化程度，以确保用户资产的安全。同时，投资者也应当保持警惕，谨慎评估各类新兴项目的风险。