Чому Blast провалює тест L2

Скажу прямо: після детального аудиту смарт-контрактів Blast (бо здається, ніхто інший цього не робив), я можу сказати: він такий же L2, як моя тостерка — квантовий комп’ютер. Ось технічна автопсія:

³⁄₅ мультисига — бомба часу

1. Керування через проксі: Blast використовує UUPSUpgradeable від OpenZeppelin — значить, 3 із 5 анонімних підписантів можуть за одну ніч змінити логіку контракту. Так, Optimism та Arbitrum мають схожий недолік, але їхнї команди вже доксовано.

2. Мост до небуття: на відміну від справжнїх L2, у Blast немає:

   • пакетування транзакцій
   • доведень хибностi
   • перевiрки доступностi даних Це буквально гаманець, який автоматично стейкує ваш ETH через Lido.

$200M — дверi для злодiїв

Знайшов ще страшнiше? Ось enableTransition():

• Дозволяє будь-якому контракту стати mainnetBridge
• Перевiрка: чи це не EOA? Хай йому перемога — ось усе стейковане ETH/DAI!

Зображений у матерiалi мiнiмальний контроль валiдацiї достойний окремого хорору.

Чому це важливо?

Поки писав цю статтю, TVL Blast перетнув $200 млн. Це:

• 200 млн причин для атакувальникiв напасти на цих 5 таємних гаманцях
• Нуль технiчних бар’єр проти шахрайства
• Багато бiльше централiзацii, нiж Binance у 2017 роцi

Порада: якщо ваш «L2» не пакетує транзакцii чи не посилає дан i на Ethereum… то це просто дорогий банк iз зайвими кроками.