Warum Blast die L2-Prüfung verfehlt

Ehrlich gesagt: Nach einer zeilenweisen Prüfung der Smart Contracts kann ich bestätigen, dass Blast so wenig ein echtes L2 ist wie mein Toaster eine Quantenmaschine. Hier die technische Aufarbeitung:

Die ³⁄₅-Multisig-Falle

1. Proxy-Puppen: Blast nutzt OpenZeppelin’s UUPSUpgradeable – drei von fünf anonymen Signern können die Vertragslogik über Nacht ändern. Optimism und Arbitrum haben ähnliche Schwachstellen, aber zumindest sind ihre Teams identifizierbar.

2. Brücke ins Nirgendwo: Anders als echte L2s fehlen hier:

   • Transaktionsbatches
   • Betrugsbeweise
   • Datenverfügbarkeitsprüfungen Es ist buchstäblich nur eine Wallet, die dein ETH automatisch über Lido staking macht.

Der $200-Mio.-Ausstiegshaken

Noch beunruhigender als die Upgrade-Schwachstelle? Das enableTransition()-Feature:

• Genehmigt JEDE beliebige Kontraktadresse als mainnetBridge
• Validierung: Nur, ob es kein EOA ist? Herzlichen Glückwunsch – hier sind deine gestakten ETH/DAI!

Das eingeschlossene Screenshot der lächerlich minimalen Prüfung verdient einen eigenen Horrorfilm.

Warum das wichtig ist

Während ich schrieb, stieg Blasts TVL über 200 Mio. USD. Das bedeutet:

• 200 Millionen Anreize für Angreifer, auf jene fünf Geheimadressen zu zielen
• Keine technischen Barrieren gegen Exit Scams
• Mehr Zentralisierung als Binance um 2017

Tipp: Wenn dein “L2” keine Transaktionen bündelt oder Daten nicht auf Ethereum veröffentlicht… dann ist es nur ein teurer Sparbuch mit mehr Schritten.