Blast真L2?真相揭密
為何Blast無法稱為真正的Layer 2
我直言不諱:在逐行審計Blast智慧合約後,我確認它與「真正L2」的差距,就像我的烤麵包機與量子電腦一樣遙不可及。以下為技術解剖實錄:
3/5多重簽章的地雷
- 代理操控:Blast使用OpenZeppelin的UUPSUpgradeable架構,意味著5位匿名簽署人中只要有3位同意,即可 overnight 更改合約邏輯。雖Optimism與Arbitrum也有類似漏洞,但至少他們團隊已公開身份。
- 橋樑形同虛設:與真正L2不同,Blast缺乏交易批次、欺诈證明與資料可用性驗證機制。它本質上只是一個自動將ETH抵押至Lido的錢包。
2億美元的逃生門
比升級漏洞更可怕的是 enableTransition() 函數:
- 可批准任何合約成為
mainnetBridge - 唯一驗證僅需非EOA(外部擁有帳戶)——恭喜!你的ETH/DAI已無險可守!
附圖顯示其極度簡陋的驗證流程,足夠拍成一部恐怖片。
為何這件事如此重要?
撰寫本文時,Blast總鎖定價值已突破2億美元。這代表:
- 攻擊者有2億動機去竊取那5個神秘錢包
- 完全無技術屏障防範跑路風險
- 中心化程度甚至超過2017年的幣安
小提醒:若你的「L2」既不批量處理交易也不向以太坊上傳資料……那它頂多只是個步驟多一點的儲蓄帳戶。
ChainSight
熱門評論 (1)
Blast L2? Haha! Parang kahapon lang ako nag-ayos ng toaster ko at bigla na lang naging quantum computer? 😂
Sabi nila ‘Layer 2’ pero parang savings account na may extra steps lang—walang transaction batching, walang data availability checks. Ang galing! Nagpapakita ng isang function na enableTransition() na nagtitiwala sa anumang contract… basta hindi EOA!
Time Bomb Alert
3⁄5 anonymous signers? Parang magkakasundo sa kanto para i-change ang rules ng laro habang tayo’y nakikinig.
TVL $200M?
Sana naman magkaroon ng security team instead of just mystery wallets.
Ano ba talaga? Kung wala kang batch transactions o data proof… hindi ka L2—ikaw ay isang VIP member ng fake savings club.
Kaya naman: Blast? More like Blasphemy!
Ano kayo, mga crypto fans? Seryoso ba ‘to o drama series na lang ito? Comment section ready for war! 🔥
