Згідно з даними аналітичної платформи блокчейнів DeBank, мережа Blast протоколу Web3 заробила понад 400 мільйонів доларів США за чотири дні після запуску. Але в повідомленні в соціальних мережах 23 листопада інженер зі зв’язків з розробниками Polygon Labs Джаррод Воттс заявив, що нова мережа створює значні ризики для безпеки через централізацію.
Команда Blast відповіла на критику з боку власного облікового запису X (раніше Twitter), але без прямого посилання на тему Воттса. У власній темі Blast стверджував, що мережа така ж децентралізована, як і інші рівні 2, включаючи Optimism, Arbitrum і Polygon.
On multisig security.
Read this thread to understand the security model of Blast along with other L2s like Arbitrum, Optimism, and Polygon.
— Blast (@Blast_L2) November 24, 2023
Мережа Blast стверджує, що є «єдиним Ethereum L2 із нативною прибутковістю для ETH і стейблкойнів», згідно з маркетинговим матеріалом на її офіційному веб-сайті. На веб-сайті також зазначено, що Blast дозволяє «автоматично складати» баланс користувача, а стейблкойни, надіслані йому, перетворюються на «USDB», стейблкоїн, який автоматично складається через протокол T-Bill MakerDAO. Команда Blast не опублікувала технічні документи, що пояснюють, як працює протокол, але кажуть, що вони будуть опубліковані, коли відбудеться розвантаження в січні.
Blast був випущений 20 листопада. За останні чотири дні TVL протоколу зросла з нуля до понад 400 мільйонів доларів.
В оригінальному дописі Уоттса говориться, що Blast може бути менш безпечним або децентралізованим, ніж уявляють користувачі, стверджуючи, що Blast «це лише 3/5 multisig». Якщо зловмисник отримує контроль над трьома з п’яти ключів членів команди, він може викрасти всю криптовалюту, депоновану в її контрактах, стверджував він.
"Blast is just a 3/5 multisig…"
I spent the past few days diving into the source code to see if this statement is actually true.
Here's everything I learned:
— Jarrod Watts (@jarrodWattsDev) November 23, 2023
За словами Воттса, контракти Blast можна оновити за допомогою облікового запису гаманця з кількома підписами Safe (раніше Gnosis Safe). Для авторизації будь-якої транзакції обліковий запис потребує трьох із п’яти підписів. Але якщо приватні ключі, які створюють ці підписи, будуть скомпрометовані, контракти можна оновити для створення будь-якого коду, який забажає зловмисник. Це означає, що зловмисник, який це зробить, може перевести всі 400 мільйонів доларів TVL на свій власний рахунок.
Крім того, Watts стверджував, що Blast «не є рівнем 2», незважаючи на те, що команда розробників це стверджувала. Замість цього Blast просто «приймає кошти від користувачів» і «забирає кошти користувачів у протоколи, такі як LIDO», без фактичного мосту чи тестової мережі для виконання цих транзакцій. Крім того, він не має функції вилучення. Щоб мати можливість виводити кошти в майбутньому, користувачі повинні вірити, що розробники запровадять функцію виведення в якийсь момент у майбутньому, стверджував Воттс.
Крім того, Воттс стверджував, що Blast містить функцію «enableTransition», яку можна використовувати для встановлення будь-якого смарт-контракту як «mainnetBridge», що означає, що зловмисник може викрасти всі кошти користувачів без необхідності оновлення контракту.
Незважаючи на ці вектори атак, Воттс стверджував, що він не вірить, що Blast втратить свої кошти. «Особисто я не думаю, що кошти будуть вкрадені», — заявив він, але також попередив, що «особисто я вважаю, що надсилати кошти Blast у їх поточному стані ризиковано».
У повідомленні з власного облікового запису X команда Blast заявила, що її протокол такий же безпечний, як і інші рівні 2. «Безпека існує в спектрі (ніщо не є захищеним на 100%), — стверджувала команда, — і вона має багато нюансів». Може здатися, що контракт без можливості оновлення більш безпечний, ніж контракт з можливістю оновлення, але ця точка зору може бути помилковою. Якщо контракт не можна оновити, але він містить помилки, «ви мертві в воді», — йдеться в повідомленні.
За темою: дебати щодо Uniswap DAO показують, що розробникам все ще важко забезпечити міжланцюгові мости
Команда Blast стверджує, що протокол використовує оновлювані контракти саме з цієї причини. Однак ключі для безпечного облікового запису «зберігаються в холодному сховищі, керуються незалежною стороною та територіально розділені». На думку команди, це «високоефективний» засіб захисту коштів користувачів, тому «тому L2, як-от Arbitrum, Optimism, Polygon», також використовують цей метод.
Blast — не єдиний протокол, який критикували за наявність контрактів, які можна оновлювати. У січні засновник Summa Джеймс Прествіч стверджував, що у моста Зоряна брама така ж проблема. У грудні 2022 року протокол Ankr був використаний, коли його смарт-контракт було оновлено, щоб дозволити створити 20 трильйонів Ankr Reward Bearing Staked BNB (aBNBc) з повітря. У випадку з Ankr оновлення було виконано колишнім співробітником, який зламав базу даних розробника, щоб отримати її ключ розгортання.
