Blast : Un Vrai L2 ? Analyse Technique

Le Problème du Multisig

Commençons par un fait marquant : Les dépôts sur Blast sont contrôlés par un multisig ³⁄₅ d’entités inconnues. Une analyse forensique des transactions de déploiement (0x52c31…) révèle :

• Contrats proxy et implémentation déployés via Gnosis Safe
• 5 portefeuilles nouvellement créés comme signataires (qui exactement ? Personne ne sait)
• Fonctionnalité UUPSUpgradeable permettant des modifications de code sans migration

Traduction : Cinq parties anonymes peuvent réécrire la logique du contrat dès qu’elles coordonnent trois signatures.

Le Paradoxe de la Mise à Jour

La vérité technique ? La plupart des grands L2 conservent des mécanismes similaires pendant leur phase de croissance. Optimism, Arbitrum, zkSync - tous ont des backdoors contrôlées par un conseil pour les corrections d’urgence. Mais Blast diverge de manière catastrophique :

solidity // Exemple de vecteur de risque dans la fonction _setMainnetBridge de Blast require(_mainnetBridge.code.length > 0); // C’est tout. Aucune vérification supplémentaire.

Cette validation laxiste signifie que n’importe quel contrat (même malveillant) peut être désigné pour drainer plus de 200 millions de dollars en ETH/DAI en une nuit.

La Vérité Brutale sur ‘Ne Pas Être un L2’

Le vrai scandale n’est pas le multisig - c’est ce que Blast n’a pas :

✅ Testnet ❌ ✅ Transactions ❌ ✅ Ponts de données ❌ ✅ Preuves de fraude ❌ ✅ Architecture de rollup ❌

C’est essentiellement un portefeuille intelligent générateur de rendements avec des illusions de grandeur. Les utilisateurs ne peuvent pas retirer leurs fonds avant que :

1. Des inconnus déploient de nouveaux contrats
2. Ces contrats incluent des fonctions de retrait
3. Les fonds soient migrés (volontairement)

Le soi-disant ‘rendement natif’ provient du canalisation des actifs dans des protocoles comme Lido via ce pipeline fragile.

Évaluation des Risques : Un Rug Pull Est-Il Possible ?

Probabilité ≠ possibilité. Bien que je parierais contre un vol pur et simple (le coût réputationnel dépasse 200 millions de dollars), les vulnérabilités structurelles devraient donner à réfléchir à tout investisseur institutionnel :

1. Les mises à jour du code pourraient introduire des exploits silencieux
2. Les approbations MainnetBridge permettent une saisie instantanée des actifs
3. Aucune transparence sur les identités des signataires ou la feuille de route de gouvernance

Mon conseil ? Traitez cela comme un produit DeFi expérimental - pas comme une infrastructure méritant un TVL à neuf chiffres.