Cointime

Download App
iOS & Android

การวิเคราะห์โค้ด: เหตุใด Blast จึงไม่ใช่ L2 เลย

ผู้เขียนต้นฉบับ: จาร์รอด วัตต์ส

การรวบรวมต้นฉบับ: Golden Finance 0xjs

หมายเหตุบรรณาธิการ:

Blast เครือข่าย L2 ใหม่ได้รับความสนใจจากสาธารณชนนับตั้งแต่เปิดตัวในสัปดาห์นี้ NFT Whale Christian ไม่เพียงฝาก 500 stETH ให้กับ Blast เท่านั้น แต่ในวันที่ 22 Blast ยังประกาศว่าได้เสร็จสิ้นการจัดหาเงินทุน 20 ล้านดอลลาร์สหรัฐแล้ว นักพัฒนาหลายคนกำลังถกเถียงกันเรื่องโค้ดและธรรมชาติของ Blast Jarrod Watts จาก Polygon ยังระบุอย่างตรงไปตรงมาว่า Blast ไม่ใช่เครือข่ายเลเยอร์ 2 บทความนี้แปลจากทวีต X ของเขา

มีคนพูดว่า "Blast เป็นเพียง 3/5 multisig..."

ฉันใช้เวลาสองสามวันที่ผ่านมาเพื่อค้นหาซอร์สโค้ดเพื่อดูว่าการกล่าวอ้างนี้เป็นจริงหรือไม่

นี่คือทุกสิ่งที่ฉันเห็น:

1. กระเป๋าเงินใหม่ 0x52c31 ปรับใช้สองสัญญา: 1) 0xa01: สัญญาพร็อกซี Blast Deposit; 2) 0x5f6: สัญญาการดำเนินการ Blast Deposit

หากคุณไม่คุ้นเคยกับการตั้งค่า "สัญญาเอเจนซี่" เหล่านี้ คุณจะกลับมาที่การตั้งค่านี้ในภายหลัง

2.0x52c31 หลังจากปรับใช้สัญญาเหล่านี้แล้ว ให้โอนการเป็นเจ้าของไปยังสัญญาอัจฉริยะ Gnosis Safe

สัญญา Gnosis Safe หรือ “Safe2” เป็นสัญญาอัจฉริยะหลายลายเซ็นที่ได้รับความนิยมและเชื่อถือได้มากที่สุด พวกเขาต้องการลายเซ็นจากผู้ลงนามส่วนใหญ่ในการทำธุรกรรม

3. ขณะนี้มีผู้ลงนาม 5 คนในสัญญา Safe ซึ่งเป็นเจ้าของสัญญา Blast

ซึ่งหมายความว่าผู้ลงนามส่วนใหญ่ (เช่น 3/5) จำเป็นต้องดำเนินธุรกรรมในนามของสัญญา Safe นี้ กระเป๋าเงินทั้ง 5 ใบนี้เป็นกระเป๋าใหม่ทั้งหมด แต่ไม่ทราบเจ้าของ

4. ดังนั้นสัญญาแบบหลายลายเซ็น 3/5 จึงเป็น "เจ้าของ" ของสัญญา Blast Deposit

ดังที่เราได้กล่าวไปแล้ว สัญญา Blast Deposit ประกอบด้วยสัญญาสองฉบับ: ตัวแทนและการดำเนินการ

การเป็น "เจ้าของ" หมายความว่าอย่างไร?

ดังที่เราได้กล่าวไปแล้ว สัญญา Blast Deposit ประกอบด้วยสัญญาสองฉบับ: ตัวแทนและการดำเนินการ

การเป็น "เจ้าของ" หมายความว่าอย่างไร?

5. ด้วยสัญญาอัจฉริยะทั่วไป คุณไม่สามารถเปลี่ยนรหัสได้เมื่อปรับใช้กับบล็อกเชน สัญญาอัจฉริยะของพร็อกซีช่วยให้คุณสามารถ "อัปเกรด" (การเปลี่ยนแปลง) เป็นสัญญาอัจฉริยะได้โดยไม่ต้องเปลี่ยนสัญญาทั้งหมด โดยทั่วไปจะใช้เพื่อแก้ไขข้อบกพร่องหรือเพิ่มฟังก์ชันการทำงาน

6. Blast agent ใช้สัญญา UUPSUpgradeable ของ OpenZeppelin ซึ่งรวมถึงฟังก์ชันต่างๆ เช่น "_upgradeTo" ซึ่งอนุญาตให้มีการเปลี่ยนแปลงตรรกะของสัญญาที่นำไปใช้ ซึ่งหมายความว่าสัญญาที่ผู้ใช้โต้ตอบด้วยสามารถรักษาที่อยู่สัญญาเดียวกันได้

7. สถานการณ์กรณีที่เลวร้ายที่สุดสำหรับความสามารถในการอัปเกรดนี้คือเจ้าของ (multisig) เปลี่ยนตรรกะของสัญญาเป็นสิ่งที่เป็นอันตราย

มันฟังดูน่ากลัวนิดหน่อยใช่ไหม? ...ในความเป็นจริง L2 ส่วนใหญ่ใช้ "ฟังก์ชันเสริม" เหล่านี้ในปัจจุบัน

8. Rollups ในแง่ดีเช่น Optimism และ Arbitrum ก็มีฟังก์ชันนี้เช่นกัน

ตาม L2Beat:

·รหัสที่ปกป้อง OP Mainnet และระบบฐานสามารถเปลี่ยนแปลงได้ตามต้องการโดยไม่ต้องแจ้งให้ทราบล่วงหน้า

·การอัพเกรด Arbitrum One ต้องใช้เวลาประมาณ 12 วัน แต่สามารถได้รับการอนุมัติจากคณะกรรมการได้โดยไม่ชักช้า

9. เช่นเดียวกับโลก zkEVM

ตาม L2Beat:

·รหัสที่ปกป้องระบบ Linea, Scroll และ zkSync อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบ

·การอัพเกรด Polygon zkEVM จะล่าช้าประมาณ 10 วัน (เว้นแต่จะเปิดใช้งานสถานะฉุกเฉิน)

10. เหตุผลที่ Rollups เหล่านี้มีหลายลายเซ็นที่สามารถดำเนินการอัปเกรดได้ก็เพื่อเปิดใช้งานการรักษาความปลอดภัยชั่วคราวในขณะที่เทคโนโลยีเติบโตเต็มที่ ตามที่ L2Beat สรุปไว้ในบล็อกระยะ L2 ขั้นตอนสุดท้ายของการยกเลิกควรจำกัดความสามารถของคณะกรรมการความปลอดภัยเหล่านี้ในการจัดการกับ "ข้อบกพร่องร้ายแรง"

11. ความสามารถของคณะมนตรีความมั่นคงลดน้อยลงเมื่อเวลาผ่านไป อย่างไรก็ตาม การเปิดเผยข้อมูลของสมาชิกเป็นสิ่งสำคัญ

ตัวอย่างเช่น Polygon PIP-29 เสนอสมาชิก 13 คนให้จัดการ "การเปลี่ยนแปลงสัญญาอัจฉริยะของระบบในขอบเขตที่แคบและจำกัดเวลา"

12. ดังนั้นในขณะที่ Blast สามารถทำการอัพเกรดโค้ดผ่านลายเซ็นหลายลายเซ็นและขโมยเงินได้ทันที แต่ก็มี *ในปัจจุบัน* โซลูชัน L2 อื่นๆ อีกมากมายที่ทำในสิ่งเดียวกัน

12. ดังนั้นในขณะที่ Blast สามารถทำการอัพเกรดโค้ดผ่านลายเซ็นหลายลายเซ็นและขโมยเงินได้ทันที แต่ก็มี *ในปัจจุบัน* โซลูชัน L2 อื่นๆ อีกมากมายที่ทำในสิ่งเดียวกัน

จนถึงตอนนี้ ฉันได้ปกป้องบลาสต์แล้ว แต่นี่เป็นข่าวร้าย... เรามาต่อกันดีกว่า

13.ระเบิดไม่ใช่ L2

Blast เป็นเพียงสัญญาอัจฉริยะที่มีสองฟังก์ชัน: 1. รับเงินของผู้ใช้ 2. ลงทุนเงินทุนของผู้ใช้ในโปรโตคอล เช่น Lido

ไม่มี testnet, ไม่มีธุรกรรม, ไม่มีบริดจ์, ไม่มีโรลอัพ และไม่มีการส่งข้อมูลธุรกรรมไปยัง Ethereum นี่ไม่ใช่ L2

14. โดยการฝากเข้าสัญญา Blast โดยพื้นฐานแล้วคุณไว้วางใจคนแปลกหน้า 3-5 คนให้จำนำเงินของคุณให้กับคุณ

คุณจะไม่สามารถถอนเงินได้ตลอดเวลา เว้นแต่ 3-5 คนนี้จะตัดสินใจทำสิ่งที่ถูกต้องในอนาคต อีกครั้งที่นี่ไม่มีสะพาน

15. นี่มันบ้าจริงๆ สำหรับฉัน...

คุณไม่สามารถรับเงินคืนจาก Blast ได้จนกว่า:

สัญญาใหม่ถูกปรับใช้โดย multisig 3/5 ที่ประกอบด้วยคนแปลกหน้า

สัญญามีฟังก์ชันในการถอนเงินจากสัญญา

พวกเขาย้ายเงินทุนทั้งหมดไปทำสัญญาฉบับใหม่

16. แต่มีสถานการณ์ที่เลวร้ายกว่านั้นอีก

ฉันสามารถบอกคุณได้ว่าพวกเขาไม่จำเป็นต้อง "อัปเกรด" เพื่อขโมยเงินทั้งหมดในสัญญาด้วยซ้ำ และเงินที่ผู้ใช้ฝากไว้ในสัญญานี้ไม่สามารถถอนออกโดยบุคคลอื่นได้

มาดูกัน.

17. ฟังก์ชัน "enableTransition" ต้องใช้สัญญา "mainnetBridge" เป็นพารามิเตอร์

ฟังก์ชั่นของสัญญา "mainnetBridge" นี้: รับ ETH และ DAI ที่จำนำทั้งหมด

แล้วสัญญา "mainnetBridge" นี้มีลักษณะอย่างไร?

18. เป็นอะไรก็ได้! Blast อนุมัติสัญญา "mainnetBridge" เพื่อใช้ LIDO และ DAI ในปริมาณสูงสุดที่เป็นไปได้

ความถูกต้องของสัญญานี้จะต้องมีข้อจำกัดบางประการหรือไม่? เอาละ *ใช่* เรามาดูโค้ดนั้นกันดีกว่า

19. ต่อไปนี้เป็นคำสั่งยืนยันในฟังก์ชัน "_setMainnetBridge"

มัน... ตรวจสอบว่ามีรหัสใด ๆ ที่อยู่นั้นหรือไม่! ใช่ ตราบใดที่ไม่ใช่ที่อยู่ EOA จะได้รับการอนุมัติให้เป็นเจ้าของเงินทุนทั้งหมดในสัญญา ปัจจุบันจำนวนเงินรวมเกินกว่า 200 ล้านดอลลาร์สหรัฐ

20. ดังนั้นจึงสามารถสันนิษฐานได้ว่าพวกเขาสามารถ:

1) สร้างสัญญาอัจฉริยะที่ง่ายมากและตั้งค่าเป็นสัญญา mainnetBridge

2) ให้สัญญาอัจฉริยะได้รับ ETH และ DAI ที่จำนำทั้งหมด (200 ล้าน+)

เรียกสัญญาอัจฉริยะเพื่อถอนเงินทั้งหมดไปยังกระเป๋าเงิน EOA

21. ภัยคุกคามหลักสองประการที่เราระบุคือ:

·อัปเกรดโค้ดที่เป็นอันตรายซึ่งได้รับการอนุมัติโดย 3/5 ลายเซ็นหลายรายการเพื่อขโมยเงิน

·สร้างสัญญาอัจฉริยะที่เป็นอันตรายและตั้งค่าเป็นสัญญาอัจฉริยะ "mainnetBridge" เพื่อขโมยเงิน ผ่านทางลายเซ็นหลายลายเซ็น 3/5 เช่นกัน

22. สิ่งนี้จะเกิดขึ้นจริงหรือ? ส่วนตัวถ้าให้เดาผมไม่คิดว่าเงินถูกขโมยไป

ไม่ว่าอย่างไรก็ตาม ฉันคิดว่าแนวคิดเรื่องผลผลิตพื้นเมืองของ Blast นั้นเป็นการแลกเปลี่ยนที่น่าสนใจมาก

23. แม้ว่าโดยส่วนตัวแล้วฉันคิดว่าการส่งเงินให้กับ Blast มีความเสี่ยงในสถานะปัจจุบัน แต่ท้ายที่สุดแล้วผู้ใช้ก็เป็นผู้ตัดสินใจว่าจะส่งหรือไม่ส่ง และฉันแค่แบ่งปันสิ่งที่ฉันเห็นที่นี่

ฉันยังคงขอให้ทีมงาน Blast และทุกคนที่ฝากเงินได้ดี

ความคิดเห็น

ความคิดเห็นทั้งหมด

Recommended for you

  • ZEN ขึ้นต่อเนื่อง 3 วัน สามารถติดตามการถือครองของ Grayscale Trust ได้หรือไม่?

    เมื่อเร็วๆ นี้ Grayscale ได้เปิดตัว Optimism Trust Fund และ Lido Trust Fund ในบรรดากองทุนทรัสต์ SUI และ ZEN ยังคงเพิ่มขึ้นอย่างต่อเนื่องแม้จะมีการปรับฐานแล้วก็ตาม กองทุนทรัสต์ที่เปิดตัวโดย Grayscale เป็นกลุ่มของโทเค็นบลูชิปหรือไม่ และจะทำกำไรได้ในระยะยาวหรือไม่?

  • Kettle แพลตฟอร์มนาฬิกาสุดหรูของ RWA ระดมทุนได้ 4 ล้านดอลลาร์สหรัฐ นำโดย ParaFi Capital

    Kettle แพลตฟอร์มนาฬิกาสุดหรูของ RWA ได้ประกาศเสร็จสิ้นการระดมทุนรอบใหม่มูลค่า 4 ล้านดอลลาร์สหรัฐ ซึ่งนำโดย ParaFi Capital โดยมีส่วนร่วมจาก Zee Prime Capital, Kronos Research, Signum Capital, Puzzle Ventures, IOSG Ventures, OSF และ gmoney.9dcc e τh กองทุนใหม่นี้มีจุดมุ่งหมายเพื่อสนับสนุนความพยายามในการสร้างแพลตฟอร์ม RWA เพื่อให้แน่ใจว่านาฬิกาทุกเรือนได้รับการรับรอง มีประกัน และจัดเก็บอย่างปลอดภัยใน Kettle Vault ในนิวยอร์ก เพื่อแนะนำผู้ใช้สกุลเงินดิจิทัลให้รู้จักกับพื้นที่นาฬิกาสุดหรู

  • รัฐสภาเยอรมนีผ่าน "กฎหมายการเปลี่ยนผ่านสู่ดิจิทัลของตลาดการเงิน"

    จากข้อมูลของ Ledger Insights รัฐสภาเยอรมัน (Bundestag) ได้ผ่านกฎหมายการทำให้เป็นดิจิทัลของตลาดการเงิน (Finanzmarktdigitalisierungsgesetz แห่ง FinmadiG) ในสัปดาห์นี้ รัฐสภาได้ตอบสนองต่อการเรียกร้องของอุตสาหกรรมเพื่อให้แน่ใจว่ากฎหมายจะมีผลบังคับใช้ก่อนที่ MiCAR จะมีผลบังคับใช้อย่างสมบูรณ์ในวันที่ 30 ธันวาคม FinmadiG ไม่เพียงแต่เกี่ยวข้องกับสกุลเงินดิจิทัลและ MiCAR เท่านั้น แต่ยังส่งผลต่อกฎหมายอื่นๆ ของสหภาพยุโรป เช่น DORA และระเบียบการโอนเงิน สำหรับ MiCAR ได้มีการนำเสนอกฎหมายควบคุมตลาดสกุลเงินดิจิทัล (KMAG) ซึ่งแทนที่กฎสกุลเงินดิจิทัลเก่าของเยอรมนีด้วย MiCAR ในทางเทคนิคแล้ว MiCAR เป็นข้อบังคับ จึงไม่จำเป็นต้องมีกฎหมายท้องถิ่น อย่างไรก็ตาม กฎหมายจำเป็นต้องกำหนดให้ BaFin เป็นหน่วยงานกำกับดูแล มิฉะนั้น BaFin จะไม่สามารถออกใบอนุญาตได้ สิ่งนี้จะช่วยให้บริษัทในสหภาพยุโรปที่มีใบอนุญาต cryptocurrency จากประเทศอื่น ๆ สามารถดำเนินการในเยอรมนีได้ แต่บริษัทของเยอรมันจะไม่สามารถดำเนินการในสหภาพยุโรปได้ นอกจากนี้ MiCAR ยังช่วยให้บริษัทที่มีใบอนุญาตอยู่แล้วสามารถดำเนินธุรกิจต่อไปได้นานถึง 18 เดือน โดยมีช่วงการเปลี่ยนแปลงที่จะกำหนดโดยเขตอำนาจศาลแต่ละแห่ง กฎหมายใหม่ของเยอรมนีกำหนดไว้หนึ่งปี

  • Odos DAO: การโจมตีทางอีเมลแบบฟิชชิ่งที่เกี่ยวข้องกับ "ODOS Loyalty Program" ปรากฏขึ้น เพื่อเตือนผู้ใช้ให้ระมัดระวัง

    Odos DAO ได้ออกเอกสารเกี่ยวกับ ทั้ง Odos DAO และ ODOS ไม่ส่งอีเมลถึงผู้ใช้ การสื่อสารอย่างเป็นทางการทั้งหมดจะกระทำผ่านบัญชี Twitter ที่ได้รับการยืนยันเท่านั้น อย่าคลิกลิงก์ที่น่าสงสัย

  • เบื้องหลังการทะเลาะวิวาทระหว่าง Polygon และ Aave: มีเพียงการแข่งขันเท่านั้น ไม่มี symbiosis เหรอ?

    ในปัจจุบัน ดูเหมือนว่าข้อเสนอที่ริเริ่มโดย Allez Labs, Morpho และ Yearn มักจะไม่ผ่าน และไม่ทราบว่า Aave จะถอนตัวออกจากระบบนิเวศของ Polygon จริงหรือไม่ (หมายเหตุ Lido ได้ประกาศว่าจะค่อยๆ ปิดบริการปักหลัก บนรูปหลายเหลี่ยม)

  • อิทธิพลของบริษัท Crypto จะขยายออกไปในสามทาง: IPO, Nasdaq 100 และ S&P 500?

    จากการจดทะเบียนใน Nasdaq จนกระทั่งได้รับเลือกให้อยู่ในดัชนี 100 บริษัท crypto กำลังขยายอิทธิพลอย่างต่อเนื่อง

  • วิเวก รามาสวามี

    Vivek Ramaswamy ซึ่งเป็นผู้นำแผนกประสิทธิผลของรัฐบาลสหรัฐฯ ร่วมกับ Musk ยืนยันว่าบัญชี X ของเขาถูกขโมยหลังจากเผยแพร่ข่าวเท็จเกี่ยวกับการเป็นพันธมิตรกับ USUAL

  • Binance Futures จะเปิดตัวสัญญาการจัดส่งแบบ U-based และ Coin ในไตรมาสที่สอง 0627

    Binance Futures จะเปิดตัวสัญญาการส่งมอบ U-margin และ Coin-margin ไตรมาสย่อย 0627 ต่อไปนี้ภายในไม่กี่ชั่วโมงหลังจากสัญญาการส่งมอบ U-margin และ Coin-margin ไตรมาส 1227 หมดอายุในเวลา 16.00 น. ของวันที่ 27 ธันวาคม

  • Scam Sniffer: บัญชี X ของ zkPass ถูกแฮ็กและโพสต์ข่าว airdrop ที่เป็นเท็จ

    ตามโพสต์ของ Scam Sniffer บนแพลตฟอร์ม X บัญชี X ของ zkPass ถูกแฮ็กและมีการโพสต์ข้อความส่งทางอากาศอันเป็นเท็จเพื่อแจ้งเตือนชุมชน

  • การตีความโครงการที่มีศักยภาพของ DePIN Spheron: เปิดใช้งานฮาร์ดแวร์ที่ไม่ได้ใช้งานและเสริมศักยภาพ Web3 และ AI

    Spheron เป็นเครือข่ายแบบกระจายอำนาจที่นำเสนอโซลูชั่นขั้นสูงสุดสำหรับ AI และการประมวลผลแบบคลาวด์ นอกจากนี้ยังเป็นเครือข่ายซูเปอร์คอมพิวเตอร์แห่งแรกของโลกอีกด้วย ผู้ใช้ให้บริการเช่าแก่นักพัฒนาแอปพลิเคชันเครือข่ายโดยการแบ่งปันทรัพยากรฮาร์ดแวร์และรับรายได้โทเค็น ทรัพยากรเหล่านี้รวมถึง GPU, CPU, พื้นที่เก็บข้อมูล, แบนด์วิดท์เครือข่าย และทรัพยากรอื่นๆ นอกเหนือจากการลดต้นทุนของนักพัฒนาแล้ว ยังสามารถนำไปใช้กับสถานการณ์ต่างๆ ได้ เช่น การประมวลผล AI การเรนเดอร์ การจำลองทางวิทยาศาสตร์ หรือการปรับใช้แอปพลิเคชันแบบกระจายอำนาจ เป็นต้น เพื่อตอบสนองความต้องการของแอพพลิเคชั่นระดับองค์กรที่ต้องการความเสถียรและความปลอดภัย

ต้องอ่านทุกวัน

กิจกรรมยอดนิยม