По данным аналитической платформы блокчейнов DeBank, сеть Blast протокола Web3 заработала более 400 миллионов долларов США в общей заблокированной стоимости (TVL) за четыре дня с момента запуска. Но в теме в социальных сетях от 23 ноября инженер по связям с разработчиками Polygon Labs Джаррод Уоттс заявил, что новая сеть представляет собой серьезную угрозу безопасности из-за централизации.

Команда Blast ответила на критику со своего аккаунта X (ранее Twitter), но без прямой ссылки на ветку Уоттса. В своей теме Blast заявил, что сеть так же децентрализована, как и другие сети второго уровня, включая Optimism, Arbitrum и Polygon.

О мультиподписной безопасности.

Прочтите эту ветку, чтобы понять модель безопасности Blast, а также других L2, таких как Arbitrum, Optimism и Polygon.

– Взрыв (@Blast_L2) 24 ноября 2023 г.

Сеть Blast утверждает, что является «единственным Ethereum L2 с собственным доходом для ETH и стейблкоинов», согласно маркетинговым материалам на ее официальном сайте. На веб-сайте также говорится, что Blast позволяет «автоматически составлять баланс» пользователя и что отправленные на него стейблкоины конвертируются в «USDB», стейблкоин, который автоматически компаундируется через протокол T-Bill MakerDAO. Команда Blast не опубликовала технические документы, объясняющие, как работает протокол, но заявляет, что они будут опубликованы, когда в январе произойдет раздача.

Blast был выпущен 20 ноября. За прошедшие четыре дня стоимость протокола TVL выросла с нуля до более чем 400 миллионов долларов.

В оригинальном сообщении Уоттса говорится, что Blast может быть менее безопасным или децентрализованным, чем думают пользователи, и утверждает, что Blast «это всего лишь мультиподпись 3/5». По его словам, если злоумышленник получит контроль над тремя из пяти ключей членов команды, он сможет украсть всю криптовалюту, внесенную в ее контракты.

«Blast — это всего лишь мультиподпись 3/5…»

Последние несколько дней я потратил на изучение исходного кода, чтобы убедиться, что это утверждение на самом деле верно.

Вот все, что я узнал:

– Джаррод Уоттс (@jarrodWattsDev) 23 ноября 2023 г.

По словам Уоттса, контракты Blast можно обновить с помощью учетной записи кошелька с мультиподписью Safe (ранее Gnosis Safe). Для авторизации любой транзакции требуется три из пяти подписей. Но если секретные ключи, создающие эти подписи, будут скомпрометированы, контракты можно будет обновить для создания любого кода, который пожелает злоумышленник. Это означает, что злоумышленник, осуществивший это, может перевести все 400 миллионов долларов TVL на свой счет.

Кроме того, Уоттс заявила, что Blast «не является вторым уровнем», несмотря на то, что ее команда разработчиков так утверждает. Вместо этого Blast просто «принимает средства от пользователей» и «переводит средства пользователей в такие протоколы, как LIDO», без использования реального моста или тестовой сети для выполнения этих транзакций. Кроме того, у него нет функции вывода средств. По словам Уоттса, чтобы иметь возможность вывода средств в будущем, пользователи должны верить, что разработчики реализуют функцию вывода средств в какой-то момент в будущем.

Кроме того, Уоттс заявил, что Blast содержит функцию «enableTransition», которую можно использовать для установки любого смарт-контракта в качестве «mainnetBridge», что означает, что злоумышленник может украсть все средства пользователей без необходимости обновления контракта.

Несмотря на эти векторы атак, Уоттс заявил, что не верит, что Blast потеряет свои средства. «Лично я не думаю, что средства будут украдены», — заявил он, но также предупредил, что «лично я считаю рискованным отправлять средства Blast в их нынешнем состоянии».

В ветке своей учетной записи X команда Blast заявила, что ее протокол так же безопасен, как и другие протоколы второго уровня. «Безопасность существует в широком спектре (ничто не является безопасным на 100%)», — заявила команда, — «и она имеет множество нюансов». Может показаться, что необновляемый контракт более безопасен, чем обновляемый, но это мнение может быть ошибочным. Если контракт не подлежит обновлению, но содержит ошибки, «вы мертвы в воде», говорилось в теме.

Команда Blast утверждает, что именно по этой причине в протоколе используются обновляемые контракты. Однако ключи от учетной записи Safe находятся «в холодном хранилище, управляемом независимой стороной и географически разделены». По мнению команд, это «высокоэффективный» способ защиты средств пользователей, и именно поэтому L2, такие как Arbitrum, Optimism, Polygon, также используют этот метод.

Blast — не единственный протокол, который критиковали за наличие обновляемых контрактов. В январе основатель Summa Джеймс Прествич заявил, что у моста Звездных врат та же проблема. В декабре 2022 года протокол Ankr был использован, когда его смарт-контракт был обновлен, чтобы позволить создавать из воздуха 20 триллионов Ankr Reward Bearing Staked BNB (aBNBc). В случае с Ankr обновление выполнил бывший сотрудник, который взломал базу данных разработчика, чтобы получить ключ развертывания.

Источник