Мережа Blast досягає 400 мільйонів доларів TVL, спростовує твердження, що вона надто централізована

Згідно з даними аналітичної платформи блокчейнів DeBank, мережа Blast протоколу Web3 заробила понад 400 мільйонів доларів США за чотири дні після запуску. Але в повідомленні в соціальних мережах 23 листопада інженер зі зв’язків з розробниками Polygon Labs Джаррод Воттс заявив, що нова мережа створює значні ризики для безпеки через централізацію.

Команда Blast відповіла на критику з боку власного облікового запису X (раніше Twitter), але без прямого посилання на тему Воттса. У власній темі Blast стверджував, що мережа така ж децентралізована, як і інші рівні 2, включаючи Optimism, Arbitrum і Polygon.

https://twitter.com/jarrodWattsDev/status/1727584394796323042?ref_src=twsrc%5Etfw

За словами Воттса, контракти Blast можна оновити за допомогою облікового запису гаманця з кількома підписами Safe (раніше Gnosis Safe). Для авторизації будь-якої транзакції обліковий запис потребує трьох із п’яти підписів. Але якщо приватні ключі, які створюють ці підписи, будуть скомпрометовані, контракти можна оновити для створення будь-якого коду, який забажає зловмисник. Це означає, що зловмисник, який це зробить, може перевести всі 400 мільйонів доларів TVL на свій власний рахунок.

Крім того, Watts стверджував, що Blast «не є рівнем 2», незважаючи на те, що команда розробників це стверджувала. Замість цього Blast просто «приймає кошти від користувачів» і «забирає кошти користувачів у протоколи, такі як LIDO», без фактичного мосту чи тестової мережі для виконання цих транзакцій. Крім того, він не має функції вилучення. Щоб мати можливість виводити кошти в майбутньому, користувачі повинні вірити, що розробники запровадять функцію виведення в якийсь момент у майбутньому, стверджував Воттс.

Крім того, Воттс стверджував, що Blast містить функцію «enableTransition», яку можна використовувати для встановлення будь-якого смарт-контракту як «mainnetBridge», що означає, що зловмисник може викрасти всі кошти користувачів без необхідності оновлення контракту.

Незважаючи на ці вектори атак, Воттс стверджував, що він не вірить, що Blast втратить свої кошти. «Особисто я не думаю, що кошти будуть вкрадені», — заявив він, але також попередив, що «особисто я вважаю, що надсилати кошти Blast у їх поточному стані ризиковано».

У повідомленні з власного облікового запису X команда Blast заявила, що її протокол такий же безпечний, як і інші рівні 2. «Безпека існує в спектрі (ніщо не є захищеним на 100%), — стверджувала команда, — і вона має багато нюансів». Може здатися, що контракт без можливості оновлення більш безпечний, ніж контракт з можливістю оновлення, але ця точка зору може бути помилковою. Якщо контракт не можна оновити, але він містить помилки, «ви мертві в воді», — йдеться в повідомленні.

За темою: дебати щодо Uniswap DAO показують, що розробникам все ще важко забезпечити міжланцюгові мости

Команда Blast стверджує, що протокол використовує оновлювані контракти саме з цієї причини. Однак ключі для безпечного облікового запису «зберігаються в холодному сховищі, керуються незалежною стороною та територіально розділені». На думку команди, це «високоефективний» засіб захисту коштів користувачів, тому «тому L2, як-от Arbitrum, Optimism, Polygon», також використовують цей метод.

Blast — не єдиний протокол, який критикували за наявність контрактів, які можна оновлювати. У січні засновник Summa Джеймс Прествіч стверджував, що у моста Зоряна брама така ж проблема. У грудні 2022 року протокол Ankr був використаний, коли його смарт-контракт було оновлено, щоб дозволити створити 20 трильйонів Ankr Reward Bearing Staked BNB (aBNBc) з повітря. У випадку з Ankr оновлення було виконано колишнім співробітником, який зламав базу даних розробника, щоб отримати її ключ розгортання.