為何Blast無法稱為真正的Layer 2

我直言不諱：在逐行審計Blast智慧合約後，我確認它與「真正L2」的差距，就像我的烤麵包機與量子電腦一樣遙不可及。以下為技術解剖實錄：

3/5多重簽章的地雷

• 代理操控：Blast使用OpenZeppelin的UUPSUpgradeable架構，意味著5位匿名簽署人中只要有3位同意，即可 overnight 更改合約邏輯。雖Optimism與Arbitrum也有類似漏洞，但至少他們團隊已公開身份。
• 橋樑形同虛設：與真正L2不同，Blast缺乏交易批次、欺诈證明與資料可用性驗證機制。它本質上只是一個自動將ETH抵押至Lido的錢包。

2億美元的逃生門

比升級漏洞更可怕的是 enableTransition() 函數：

• 可批准任何合約成為 mainnetBridge
• 唯一驗證僅需非EOA（外部擁有帳戶）——恭喜！你的ETH/DAI已無險可守！

附圖顯示其極度簡陋的驗證流程，足夠拍成一部恐怖片。

為何這件事如此重要？

撰寫本文時，Blast總鎖定價值已突破2億美元。這代表：

• 攻擊者有2億動機去竊取那5個神秘錢包
• 完全無技術屏障防範跑路風險
• 中心化程度甚至超過2017年的幣安

小提醒：若你的「L2」既不批量處理交易也不向以太坊上傳資料……那它頂多只是個步驟多一點的儲蓄帳戶。