Pourquoi Blast échoue comme solution Layer 2

Sois clair : Après avoir analysé ligne par ligne les contrats intelligents de Blast (car apparemment personne d’autre ne l’avait fait), je confirme que c’est aussi peu un L2 qu’un grille-pain est un ordinateur quantique.

La bombe à retardement du multisig ³⁄₅

• Contrôle par proxy : Blast utilise UUPSUpgradeable d’OpenZeppelin → 3 sur 5 signataires anonymes peuvent modifier la logique des contrats en une nuit. Optimism et Arbitrum ont des failles similaires, mais au moins leurs équipes sont identifiées.
• Pont vers nulle part : Contrairement aux vrais L2, Blast ne dispose pas :
  • de lots de transactions
  • de preuves de fraude
  • de vérifications de disponibilité des données Il est littéralement juste un portefeuille qui stake automatiquement votre ETH via Lido.

Le sas de sécurité à 200M $

J’ai trouvé quelque chose d’encore plus inquiétant que la vulnérabilité d’upgrade ? Voici enableTransition() :

• Autorise n’importe quel contrat comme mainnetBridge
• Validation uniquement : n’est-il pas une EOA ? Félicitations, voici tout l’ETH/DAI staké !

L’écran montrant cette validation lamentable mériterait sa propre franchise horrifique.

Pourquoi cela compte-t-il ?

Alors que j’écrivais cet article, le TVL de Blast a dépassé les 200M $. Cela signifie :

• 200 millions de raisons pour les attaquants cibler ces cinq portefeuilles mystères
• Aucune barrière technique empêchant une escroquerie d’extraction
• Une centralisation plus grande que Binance en 2017

Astuce : Si votre “L2” ne regroupe pas les transactions ni ne publie les données sur Ethereum… c’est juste un compte d’épargne sophistiqué avec des étapes supplémentaires.