Tại sao Blast không phải là L2 thực sự: Kiểm tra mã nguồn

Sự thật về Multisig

Blast được kiểm soát bởi multisig ³⁄₅ với các thành viên ẩn danh. Phân tích giao dịch triển khai (0x52c31…) cho thấy:

• Hợp đồng Proxy triển khai qua Gnosis Safe
• 5 ví mới tạo làm người ký (danh tính không rõ)
• Chức năng UUPSUpgradeable cho phép thay đổi mã mà không cần di chuyển

Tóm lại: 5 bên ẩn danh có thể thay đổi logic hợp đồng chỉ với 3 chữ ký.

Rủi ro từ tính năng nâng cấp

Hầu hết các L2 lớn đều có cơ chế nâng cấp tương tự, nhưng Blast có điểm khác biệt nguy hiểm:

solidity // Mã kiểm tra rủi ro từ hàm _setMainnetBridge của Blast require(_mainnetBridge.code.length > 0); // Không có kiểm tra nào khác

Điều này cho phép bất kỳ hợp đồng nào (kể cả độc hại) có thể rút hàng trăm triệu USD ETH/DAI chỉ trong một đêm.

Sự thật về ‘Không phải L2’

Vấn đề không nằm ở multisig mà ở những gì Blast không có:

✅ Testnet ❌ ✅ Giao dịch ❌ ✅ Cầu dữ liệu ❌ ✅ Bằng chứng gian lận ❌ ✅ Kiến trúc rollup ❌

Blast chỉ là một ví thông minh sinh lời với tham vọng quá lớn. Người dùng không thể rút tiền cho đến khi:

1. Người lạ triển khai hợp đồng mới
2. Hợp đồng đó có chức năng rút tiền
3. Tiền được di chuyển (tự nguyện)

Lợi nhuận ‘tự nhiên’ đến từ việc chuyển tài sản vào các giao thức như Lido qua hệ thống không ổn định này.

Đánh giá rủi ro: Có thể bị lừa đảo?

Khả năng ≠ hiện thực. Dù khó xảy ra ăn cắp trắng trợn (thiệt hại danh tiếng lớn hơn 200 triệu USD), nhưng các lỗ hổng cấu trúc khiến nhà đầu tư tổ chức phải cân nhắc:

1. Nâng cấp mã có thể tạo lỗ hổng âm thầm
2. Phê duyệt MainnetBridge cho phép chiếm đoạt tài sản ngay lập tức
3. Không minh bạch về danh tính người ký hoặc lộ trình quản trị

Lời khuyên? Hãy coi đây là sản phẩm DeFi thử nghiệm - không phải cơ sở hạ tầng xứng đáng với TVL hàng trăm triệu USD.