왜 블라스트는 L2 시험에 실패했는가

정직하게 말하자면, 다른 누군가가 하지 않은 대로 블라스트의 코드를 한 줄씩 검토한 결과, 그게 진짜 L2라는 건 내 토스터기보다도 더 어색합니다. 기술적 해부를 시작하겠습니다.

³⁄₅ 멀티시그 폭탄

1. 프록시 조작: 블라스트는 OpenZeppelin의 UUPSUpgradeable을 사용해, 5명 중 3명이 애초에 익명인 서명자들이 계약 로직을 하루아침에 바꿀 수 있습니다. 옵티미즘이나 아리바트럼도 비슷한 취약점이 있지만, 적어도 팀원들은 실명이 공개되어 있습니다.

2. 무의미한 브릿지: 진정한 L2와 달리 블라스트는 다음과 같은 요소가 없습니다:

   • 트랜잭션 배치 없음
   • 사기 증거 없음
   • 데이터 가용성 검사 없음 결국 단순히 ETH를 자동으로 Lido에 스테이킹하는 지갑일 뿐입니다.

사용자 자금 2억 달러의 도피구역

업그레이드 취약점보다 더 무서운 건 enableTransition() 함수입니다:

• 어떤 계약도 mainnetBridge로 승인 가능
• 유일한 확인 조건: EOA(외부 소유 계정)가 아니면 됨! 축하합니다, 이제 모든 스테이킹된 ETH/DAI를 받으세요!

최소한의 유효성 검사 과정을 보여주는 스크린샷은 단독 호러 영화 제목으로 충분할 정도입니다.

왜 이 문제가 중요한가?

이 글을 쓰던 중 블라스트 TVL이 $2억을 돌파했습니다. 이는 다음과 같은 의미입니다:

• 해커들이 타깃할 이유가 2억 달러나 됨
• 출금 사기 방지를 위한 기술적 장벽 전혀 없음
• 바이낸스 2017년 수준보다 더 중앙화됨

팁 하나: 만약 당신의 ‘L2’가 트랜잭션 배치도 안 하고 이더리움에 데이터를 게시하지 않는다면… 그것은 그냥 추가 단계만 있는 예금 통장일 뿐입니다.