ทำไม Blast ล้มเหลวในการทดสอบ Layer 2

ให้ฉันพูดตรงๆ: หลังจากตรวจสอบสัญญาอัจฉริยะของ Blast ทุกบรรทัด (เพราะดูเหมือนว่าไม่มีใครทำ) ฉันสามารถยืนยันได้ว่ามันเป็น L2 ได้ประมาณเดียวกับที่เครื่องปิ้งขนมปังของฉันเป็นคอมพิวเตอร์ควอนตัม นี่คือการชันสูตรทางเทคนิค:

ระเบิดเวลาของ Multisig ³⁄₅

1. หุ่นเชิด Proxy: Blast ใช้ UUPSUpgradeable ของ OpenZeppelin - ซึ่งหมายความว่าผู้ลงนามที่ไม่ระบุตัวตน 3 ใน 5 คนสามารถเขียนตรรกะสัญญาใหม่ได้ในชั่วข้ามคืน ใช่ Optimism และ Arbitrum ก็มีช่องโหว่แบบเดียวกัน แต่อย่างน้อยทีมของพวกเขาเปิดเผยตัวตน

2. สะพานไปไม่ถึงไหน: ไม่เหมือนกับ L2 จริง Blast ขาด:

   • การรวมธุรกรรม
   • การพิสูจน์การฉ้อโกง
   • การตรวจสอบความพร้อมของข้อมูล มันเป็นเพียงกระเป๋าเงินที่ฝาก ETH ของคุณผ่าน Lido โดยอัตโนมัติ

ทางออกของเงิน 200 ล้านดอลลาร์

พบสิ่งที่น่ากลัวกว่าช่องโหว่การอัพเกรดหรือไม่? พบกับ enableTransition():

• อนุมัติสัญญาใดๆ เป็น mainnetBridge
• การตรวจสอบเพียงอย่างเดียว: มันไม่ใช่ EOA หรือไม่? ยินดีด้วย นี่คือ ETH/DAI ที่ฝากไว้ทั้งหมด!

ภาพหน้าจอของการตรวจสอบขั้นต่ำที่น่าขบขันสมควรได้รับภาพยนตร์สยองขวัญเป็นของตัวเอง

ทำไมสิ่งนี้จึงสำคัญ

ขณะที่เขียนบทความนี้ TVL ของ Blast เกิน 200 ล้านดอลลาร์ นั่นคือ:

• เหตุผล 200 ล้านข้อสำหรับผู้โจมตีที่จะ瞄准กระเป๋าเงินลึกลับ 5 ใบนี้
• ไม่มีอุปสรรคทางเทคนิคใดที่ป้องกันการหลอกลวงออก
• การรวมศูนย์มากกว่า Binance ในปี 2017

เคล็ดลับโปร: หาก “L2” ของคุณไม่ได้รวมธุรกรรมหรือโพสต์ข้อมูลไปยัง Ethereum… มันก็只是个บัญชีออมทรัพย์แฟนซีที่มีขั้นตอนเพิ่มเติม