近期的Web3市场上,Base可谓占据着头条。8月9日,Coinbase正式推出BaseNetwork的主网。作为一条新的Layer2网络,Base继承了以太坊的安全性的同时为用户提供更快更便宜的交易服务。为了支持此次主网发布,Coinbase举办了为期数周的OnchainSummerWeb3Festival活动,Cocacola,NounsDAO等项目均在Base上发行NFT。此外,DeFi应用和社交类应用Friend.tech也非常火热,吸引了超过1.9亿美元的资金跨入Base。8月25日,Base和Optimism网络背后的开发者联合宣布了一项收入共享和治理共享协议。根据帖子,Base的智能合约只能通过2/2多签钱包账户进行升级。一个签名由Base控制,另一个由Optimism网络团队(称为“Optimism基金会”)控制,随着越来越多的链选择使用OPStack并成为“超级链”的一部分,治理将移交给由构成该生态系统的所有链的代表组成的“安全委员会”。可以看到,关于Base的讨论,一直居高不下,但是在如此热潮下,我们也发现Base链上的安全事件在逐渐增多,各种RugPull层出不穷,这也正是Beosin持续关注新公链安全风险的原因所在,今天就和我们一起看看在Base网络中会面临哪些机会和安全风险。BaseNetwork架构和潜在风险Base是基于OPStackBedrock版本构建的Layer2网络。
由于Bedrock是模块化的网络架构,分为六层,Base的架构也是如此,只是与Optimism略有区别:1.数据可用层(DataAvailabilityLayer)Base的数据可用层与Optimism一样,都是使用的以太坊网络模块。目前,Base可以调用以太坊的calldata和事件,未来将支持调用EIP-4844的数据blob。2.索引层(SequencingLayer)Base的索引层是单排序器(sequencer),即目前Base网络上只有Coinbase是唯一的排序器。这意味着Coinbase是唯一在网络上验证,执行和排序交易的实体。这也是Coinbase在Base网络上的主要收入来源。Base主网上线后的这段时间,Coinbase已从排序器中获得约260万美元的收入。3.推导层(DerivationLayer)Base和Optimism的推导层基本一致。推导层定义了如何处理数据可用层的原始数据,可以根据执行层中当前系统的状态来解析原始的输入数据。4.执行层(ExecutionLayer)Base和Optimism的执行层基本一致,由op-geth负责执行交易。op-geth是经过Optimism团队修改过的EVM执行模块,主要增加了对在以太坊网络发起的L2交易的支持和在以太坊上发布交易所需gas的计算。
5.结算层(SettlementLayer)Base和Optimism的结算层目前都采用的单次Attestation-based欺诈证明,在未来会换成Optimism开发的Cannon交互欺诈证明,进行多轮链下交互解决争议。6.治理层(GovernanceLayer)Base的治理层采用的是多签合约,而Optimism采用的是多签合约与治理代币$OP。目前Base网络的升级由一个2/2的GnosisSafe多签合约(0x2304CB33d95999dC29f4CeF1e35065e670a70050)决定。该多签合约的2个所有者又分别是两个多签合约:一个5/7的多签合约(0x28EDB11394eb271212ED66c08f2b7893C04C5D65)和一个3/6的多签合约(base:0xd94E416cf2c7167608B2515B7e4102B41efff94f),以保证Base网络的安全性。未来Base作为OP超级链之一,将根据Optimism提出的“LawofChains”治理框架,把多签治理权限转移到分布在全球各地的社区成员所组成的安全理事会,由理事会负责OP超级链的升级。Base的架构总结如下:Source:BeosinBaseNetwork生态的机会与风险目前,Base生态项目的数量已超过100个,包括但不限于DeFi、跨链桥、钱包、预言机、节点提供商等,其中Base原生DeFi项目占据了很大比重的锁仓量和成交额。DeFi1.BaseSwapBaseSwap目前是Base上锁仓额最高的DEX,目前TVL超过5000万美元,为用户提供兑换、流动性挖矿和NFT交易。但BaseSwap尚未被Base官方生态网页收录,用户需注意参与风险。2.AlienBaseAlienBase目前是Base上锁仓额第二高的DEX,目前TVL超过2100万美元。AlienBase的流动性挖矿计划允许用户提供流动性和质押LP代币来赚取ALB代币和平台收入。
AlienBase同样尚未被Base官方生态网页收录,用户需注意参与风险。SocialFi1.Friend.techFriend.tech是Base网络的明星项目,仅正式启动2星期就已有超10万用户使用。Friend.tech的定位是将用户的影响力代币化,用户可以购买其他用户的“Shares”以获得和其他用户直接交流的权限。目前Shares的交易量已超过3400万美元,Friend.tech以及围绕Friend.tech构建的周边产品值得关注。同时需要注意的是Friend.tech的隐私安全问题,8月21日下午,Friend.tech因自身API设计问题,导致101,183位用户的钱包地址和推特账户关联信息泄露,Beosin之前已详细分析该信息泄露的危害和避免措施。2.CyberConnectWeb3社交应用CyberConnect宣布CyberAccount已在Base上线,将ERC-4337支持的账户抽象引入Base网络。Base链上RugPull增多,用户如何防范?Base主网刚上线时,Meme代币$BALD一夜千倍,吸引了市场大部分交易者的注意力,但在之后又上演了几秒崩盘戏码。当前Base链的热度非常高,但很多项目并未披露审计报告和团队信息,因此产生了非常多的RugPull项目。7月31日,区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,Base链上BALD代币合约RugPull。
8月1日,Base链上leetswap项目发生闪电贷攻击,攻击主要利用了pair合约中的_transferFeesSupportingTaxTokens函数,它允许任意人使用函数让pair合约中的axlUSD转移,导致代币价格上升,攻击者可以卖出代币进行获利。8月15日,Base链上RocketSwap私钥泄露。16号,Base链上SwirlLend项目同样RugPull。8月25日,Base链上MagnateFinance发生RugPull,涉及金额约640万美元。BeosinKYT追踪发现,这个部署者过去曾有两个项目发生过“跑路”,可谓一个惯犯。分别是Solfire项目2022年1月23日拉动480万美元的RugPull骗局,以及KokomoFinance项目在2023年3月27日拉动的550万美元RugPull骗局。Base链上MagnateFinance发生RugPull资金追踪因此Beosin建议用户在参与Base项目之前需详细调研项目,了解项目的有关风险。项目方在上线之前应进行完整的安全审计,以避免黑客攻击导致资金被盗。Beosin目前已完成Base链上去中心化永续合约交易平台Tifo.trade的审计,同时我们也建议更多的Base项目应该注重安全风险的规避。写在最后Base的未来更有更多的可能性,同时也伴随着复杂的安全挑战。在Coinbase的支持下,使目前Base处于有利的位置,有望对Layer2生态系统产生长远的影响。然而,安全性、竞争压力、社区发展和监管等方面的挑战也在不断加剧。Base面临着如何应对这些挑战并抓住机遇的重要抉择,作为新进入者进入这个充满活力和竞争的领域,Base在未来都将受到加密社区和行业相关人士的密切关注,Beosin也将持续关注Base链上的安全风险,为整个Base生态保驾护航。