与真相去正的剖析为何深度甚远

2025-09-15 01:30:24 来源:数链投资

作为一名区块链开发者,当我看到"Blast不过是个3/5多重签名"的说法时,第一反应是:这个判断是否准确?带着这个疑问,我花了整整两天时间仔细研究了它的智能合约代码,结果发现了很多有趣的细节。揭开Blast的神秘面纱代码不会说谎。一个崭新的钱包0x52c31在部署了两个关键合约后,立即将所有权转交给了Gnosis Safe。这是一个业内广泛使用的多重签名合约,需要5个签名者中的3个同意才能执行交易...

作为一名区块链开发者,当我看到"Blast不过是个3/5多重签名"的说法时,第一反应是:这个判断是否准确?带着这个疑问,我花了整整两天时间仔细研究了它的智能合约代码,结果发现了很多有趣的细节。

揭开Blast的神秘面纱

代码不会说谎。一个崭新的钱包0x52c31在部署了两个关键合约后,立即将所有权转交给了Gnosis Safe。这是一个业内广泛使用的多重签名合约,需要5个签名者中的3个同意才能执行交易。有趣的是,这5个签名者的身份至今成谜。

更值得玩味的是Blast采用了代理合约设计。通过OpenZeppelin的UUPSUpgradeable合约,它保留了随时更改底层合约逻辑的权限。这就像给你的保险箱留了把备用钥匙,而钥匙掌握在几个陌生人手里。

行业真相:大部分L2都在用类似机制

说实话,当我发现这一点时也很惊讶。但更令人意外的是,包括Optimism、Arbitrum在内的大多数主流L2其实都在使用类似机制。L2Beat的数据显示,这些平台的核心代码都可以在未经公告的情况下被修改。

这让我想起去年参与Polygon PIP-29提案讨论时的情景。当时我们就讨论过,成熟的L2应该逐步弱化安全委员会的能力,将其权限限制在修复关键漏洞的范围内。但现实是,目前大多数项目都还处于过渡阶段。

Blast与真正L2的本质区别

然而,Blast的问题远不止于此。最让我震惊的是它的运作模式:这根本就不是一个L2!它更像是一个资金池,没有任何测试网、交易处理或数据上链功能。用户存入的资金就像被锁在一个黑匣子里,既不能自主提取,也没有任何链上验证机制。

想象一下:你把钱存进银行,但银行既没有ATM机,也没有柜台服务,想取钱?得等几个陌生人心情好了再说。更可怕的是,合约里还藏着一个"enableTransition"功能,可以随意设置"mainnetBridge"合约来转移所有资金。而唯一的限制条件竟然是——只要这个合约不是个人钱包就行!

令人担忧的安全隐患

通过分析,我发现两个主要的资金安全隐患:

1. 3/5多重签名可以直接升级恶意代码卷走资金

2. 同样通过3/5签名,可以设置一个恶意合约瞬间转移超过2亿美元的资金

说实话,作为一个经历过多次安全审计的开发者,看到这样的设计让我后背发凉。虽然我个人认为大规模盗取的可能性不大,但这种设计就像在刀尖上跳舞,风险实在太高。

结语:理性看待创新与风险

Blast的"原生收益"概念确实很有创意,但创新不应该以牺牲基本安全性为代价。作为业内人士,我的建议是:在项目完善其安全机制前,普通用户需要三思而后行。毕竟在这个领域,代码即法律,而目前Blast的"法律"实在太过宽松了。

版权所有,未经授权不得以任何形式转载及使用,违者必究。

相关阅读

热门文章

当稳定币巨头开始单飞:专属链热潮下的行业震荡

2025-09-15 01:26

阿根廷新总统上任,比特币真的能迎来春天吗?

2025-09-15 01:06

TIA币上演疯狂星期一:四天翻倍的背后藏着哪些秘密?

2025-09-15 00:28

当比特币遇上华尔街:加密市场正在经历的深刻变革

2025-09-15 00:11

比特币遭遇通胀冷水澡,12万美元关口能否守住?

2025-09-14 23:17