Blast 메인넷 출시가 임박했으며, 기술적 측면에서 그 존재하는 안전 위험과 잠재적 기회를 분석합니다
Blast 생태계가 발전함에 따라 다양한 프로젝트가 쏟아져 나오고 있으며, 이로 인해 각종 안전 위험이 빈발하고 있습니다. 오늘 Beosin은 강력한 출발을 한 Blast의 TVL 급등 뒤에 숨겨진 안전 위험과 잠재적 기회를 해석해 드리겠습니다.저자: Beosin
최근 Blast는 다시 한 번 시장의 "핫한 아이템"이 되었습니다. "Big Bang" 개발자 대회가 끝나면서 TVL이 계속해서 급증하여 200억 달러를 초과하며 Layer2 트랙에서 한 자리를 차지하게 되었습니다.
동시에 Blast는 2월 29일에 메인넷을 출시할 것이라고 발표하여 대중의 지속적인 관심을 끌고 있습니다. 결국 "에어드랍 기대감"이 이미 대부분의 참여자를 끌어모았습니다. 하지만 생태계가 발전함에 따라 다양한 프로젝트가 쏟아져 나오고, 이는 또한 각종 보안 위험을 초래하고 있습니다. 오늘 Beosin은 강력한 출발을 한 Blast의 TVL 급증 뒤에 숨겨진 보안 위험과 잠재적 기회를 해석해 드리겠습니다.
Blast 발전 과정
Blast는 Blur 창립자 Pacman에 의해 2023년 11월 21일에 출시되었으며, 곧 암호화 커뮤니티에서 널리 주목받게 되었습니다. 출시 후 48시간 이내에 해당 네트워크의 총 잠금 가치(TVL)는 5.7억 달러에 도달하였고, 50,000명 이상의 사용자를 끌어모았습니다.
Blast는 지난해 Paradigm과 Standard Crypto 등 주요 후원자로부터 2천만 달러의 자금을 조달하였고, 이어 지난해 11월에는 일본 암호화폐 투자 회사 CGV로부터 500만 달러의 투자를 받았습니다.
2월 25일 소식에 따르면, DeBank 데이터에 따르면, Blast 계약 주소는 현재 자산 총 가치가 200억 달러를 초과하며, 그 중 180억 달러의 ETH가 Lido 프로토콜에 예치되어 있고, 1.6억 달러의 DAI가 MakerDAO 프로토콜에 예치되어 있어 시장에서의 인기를 보여줍니다.
DeBank 데이터
왜 Blast가 이렇게 인기가 있나요?
Blast의 독특한 점은 ETH와 스테이블코인의 원주율 수익률을 제공한다는 것입니다. 이는 다른 Layer2 솔루션에서는 제공되지 않는 특징입니다. 사용자가 ETH를 다른 Layer2로 이동할 때, 이러한 Layer2는 ETH를 스마트 계약에 잠그고 해당 Layer2 ETH를 매핑하는 것뿐입니다. 반면 Blast는 사용자의 ETH를 Lido에 예치하여 수익을 창출하고, 새로운 수익 스테이블코인 USDB(이 스테이블코인은 MakerDAO를 통해 미국 국채를 구매하여 수익을 얻습니다)를 Blast 네트워크에 도입합니다.
또한, Blur 팀이 출시한 Layer2로서 자체적으로 유입되는 트래픽이 있습니다. 이전에 Blur는 플랫폼 사용자에게 2억 달러 이상의 에어드랍을 진행했으며, 이미 광범위한 커뮤니티 기반을 가지고 있습니다. 현재 Blast는 에어드랍 인센티브를 통해 트래픽 분열 마케팅 방식으로 사용자 참여를 유도하고 있습니다.
Blast 보안 위험
Blast는 출시 이후 비판과 의혹을 받아왔습니다. 2023년 11월 23일, Polygon Labs의 개발자 관계 엔지니어 Jarrod Watts는 트위터에서 Blast의 중앙화가 사용자에게 심각한 보안 위험을 초래할 수 있다고 언급했습니다. 또한 그는 Blast가 L2 네트워크로 분류되는 것에 의문을 제기했으며, Blast는 L2 기준을 충족하지 않고 거래, 브릿지, 롤업 또는 이더리움으로 거래 데이터를 전송하는 기능이 부족하다고 지적했습니다.
Blast의 보안성은 과연 어떤가요? 어떤 보안 위험이 존재하나요? 이번에는 Beosin VaaS 도구를 통해 Blast Deposit 계약을 스캔하고, Beosin 보안 전문가의 분석을 결합하여 Blast Deposit 계약 코드에 대해 해석해 보겠습니다.
Beosin VaaS
Blast Deposit 계약은 업그레이드 가능한 계약으로, 그 프록시 계약 주소는 0x5F6AE08B8AeB7078cf2F96AFb089D7c9f51DA47d이며, 현재 그 로직 계약 주소는 0x0bD88b59D580549285f0A207Db5F06bf24a8e561입니다. 주요 위험 요소는 다음과 같습니다:
1. 중앙화 위험
Blast Deposit 계약에서 가장 중요한 enableTransition 함수는 오직 계약의 관리자 주소만 호출할 수 있습니다. 또한 이 함수는 mainnetBridge 계약 주소를 매개변수로 사용하며, mainnetBridge 계약은 모든 스테이킹된 ETH와 DAI에 접근할 수 있습니다.
function enableTransition(address mainnetBridge) external onlyOwner { if (isTransitionEnabled) { revert TransitionIsEnabled(); }
_pause(); _setMainnetBridge(mainnetBridge); isTransitionEnabled = true;
LIDO.approve(mainnetBridge, type(uint256).max); DAI.approve(mainnetBridge, type(uint256).max);}
code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F1#L230
또한, Blast Deposit 계약은 언제든지 upgradeTo 함수를 통해 업그레이드할 수 있습니다. 이는 주로 계약의 취약점을 수정하기 위한 것이지만, 악용될 가능성도 존재합니다. 현재 Polygon zkEVM은 계약 업그레이드 측면에서 상대적으로 잘 관리되고 있으며, 비긴급 상황에서 계약 수정은 일반적으로 10일의 지연이 필요하고, 계약 수정은 13명으로 구성된 프로토콜 이사회에 의해 결정되어야 합니다.
function upgradeTo(address newImplementation) public virtual onlyProxy { _authorizeUpgrade(newImplementation); _upgradeToAndCallUUPS(newImplementation, new bytes(0), false); }
code:https://etherscan.io/address/0x0bd88b59d580549285f0a207db5f06bf24a8e561#code#F2#L78
2. 다중 서명 논란
Blast Deposit 계약을 살펴보면, 그 계약의 권한은 Gnosis Safe의 3/5 다중 서명 지갑 0x67CA7Ca75b69711cfd48B44eC3F64E469BaF608C에 의해 제어되고 있습니다. 이 5개의 서명 주소는 다음과 같습니다:
0x49d495DE356259458120bfd7bCB463CFb6D6c6BA
0xb7c719eB2649c1F03bFab68b0AAa35AD538a7cC8
0x1f97306039530ADB4173C3786e86fab5e6b90F41
0x6a356C0EAA560f00127Adf5108FfAf503b9f1e11
0x46e31F27Df5047D7Fad9b1E8DFFec635cF6efAcF
이 5개의 주소는 모두 3개월 전에 생성된 새로운 주소로, 신원이 불분명합니다. 전체 계약이 실제로는 다중 서명 지갑에 의해 보호되는 관리 계약이며, 롤업 브릿지가 아니기 때문에 Blast는 커뮤니티와 개발자들로부터 많은 의혹을 받고 있습니다.
Blast는 이러한 일련의 보안 위험을 인정하며, 불변의 스마트 계약이 안전하다고 여겨지지만, 감지되지 않은 취약점을 숨길 수 있다고 밝혔습니다. 또한 업그레이드 가능한 스마트 계약은 계약 업그레이드 및 쉽게 악용될 수 있는 시간 잠금과 같은 자체적인 위험을 초래할 수 있습니다. 이러한 위험을 완화하기 위해 Blast는 여러 하드웨어 지갑을 사용하여 관리하여 중앙화 위험을 피할 것입니다.
그러나 지갑 관리가 중앙화 및 피싱 공격을 피할 수 있는지, 완벽한 관리 프로세스가 있는지는 Blast가 아직 공개하지 않았습니다. 이전 Ronin Bridge, Multichain 두 건의 보안 사건에서 프로젝트 측은 모두 다중 서명 지갑이나 MPC 지갑을 사용했지만, 개인 키 관리의 중앙화로 인해 사용자 자산 손실이 발생했습니다.
2월 19일, Blast 팀은 Deposit 계약에 대한 업데이트를 진행했습니다. 이번 업데이트는 주로 Predeploys 계약을 추가하고 IERC20Permit 인터페이스를 도입하여 메인넷 출시를 준비하는 것이었습니다.
Blast 생태계 위험
2월 25일, Beosin KYT 반자금세탁 분석 플랫폼은 Blast 생태계 GambleFi 프로젝트 Risk(@riskonblast)가 RugPull이 발생한 것으로 의심되며, 손실 금액은 약 500 ETH에 달한다고 모니터링했습니다. 현재 그 공식 X 계정은 존재하지 않는 것으로 나타났습니다.
MoonCat2878 등 투자자들은 그들의 개인 손실을 공유했습니다. MoonCat2878은 Blast 생태계 내 신뢰할 수 있는 프로젝트와 파트너로부터 정보를 얻은 후, 처음에 RiskOnBlast를 유망한 투자 기회로 보았다고 이야기했습니다. 그러나 이후 공개 판매가 무제한 자금 조달로 변모하면서 그들은 Risk라는 GameFi 프로젝트에 대한 의구심을 가지게 되었습니다.
Beosin Trace 모니터링에 따르면, 현재 Blast 생태계 게임 Risk 프로젝트의 도난 자금 대부분이 다른 거래소로 이전되었으며, 일부 도난 자금은 Arbitrum과 Cosmos로 크로스 체인되었습니다.
위험 경고 위험 경고
