Blast достигла $400 млн TVL и отвергает упреки в централизации
По данным аналитической платформы блокчейнов DeBank, основная сеть Web3-протокола Blast накопила более 400 миллионов долларов США в виде общей заблокированной стоимости (TVL) всего за четыре дня с момента запуска.
Но в теме в социальных сетях от 23 ноября инженер по связям с разработчиками Polygon Labs Джаррод Уоттс заявил, что новая сеть подвержена серьезной угрозе безопасности из-за централизации.
«Blast — это всего лишь мультиподпись 3/5… Последние несколько дней я потратил на изучение исходного кода, чтобы убедиться, что это утверждение на самом деле верно», – написал в твиттере Джаррод Уоттс (@jarrodWattsDev) 23 ноября 2023 г.
По словам Уоттса, контракты Blast можно обновить с помощью учетной записи кошелька с мультиподписью Safe (ранее Gnosis Safe). Для авторизации любой транзакции требуется три из пяти подписей. Но если секретные ключи, создающие эти подписи, будут скомпрометированы, контракты можно будет обновить для создания любого кода, который пожелает злоумышленник. Это означает, что злоумышленник, осуществивший это, может перевести все 400 миллионов долларов TVL на свой счет.
Кроме того, Уоттс заявил, что Blast «не является вторым уровнем», несмотря на то, что команда его разработчиков так утверждает. Вместо этого, по его словам, Blast просто «принимает средства от пользователей» и «вкладывает средства пользователей в такие протоколы, как LIDO», без использования реального моста или тестовой сети для выполнения этих транзакций. Кроме того, у него нет функции вывода средств. По словам Уоттса, чтобы иметь возможность вывода средств в будущем, пользователи должны верить, что разработчики реализуют функцию вывода средств в какой-то момент в будущем.
Кроме того, Уоттс заявил, что Blast содержит функцию «enableTransition», которую можно использовать для установки любого смарт-контракта в качестве «mainnetBridge», что означает, что злоумышленник может украсть все средства пользователей без необходимости обновлять контракт.
Несмотря на эти векторы атак, Уоттс заявил, что не верит, что Blast потеряет свои средства.
«Лично я не думаю, что средства будут украдены», — заявил он. Но он также предупредил, что «лично я считаю рискованным отправлять средства Blast в их нынешнем состоянии».
Команда Blast ответила на критику со своего аккаунта X (ранее Twitter), но без прямой ссылки на ветку Уоттса. В своей теме команда Blast заявила, что сеть так же децентрализована, как и другие Layer 2, включая Optimism, Arbitrum и Polygon.
Сеть Blast утверждает, что является «единственным Ethereum L2 с собственным доходом для ETH и стейблкоинов», согласно маркетинговым материалам на ее официальном сайте. На веб-сайте также говорится, что Blast позволяет «автоматически составлять баланс» пользователя и что отправленные в сеть Blast стейблкоины конвертируются в «USDB», стейблкоин, который автоматически компаундируется через протокол T-Bill MakerDAO. Команда Blast не опубликовала технические документы, объясняющие, как работает протокол, но заявляет, что они будут опубликованы, когда в январе произойдет раздача собственных токенов сети.
В исходном сообщении Уоттса говорилось, что Blast может быть менее безопасным или децентрализованным, чем думают пользователи, утверждая, что Blast «это всего лишь мультиподпись 3/5». По его словам, если злоумышленник получит контроль над тремя из пяти ключей членов команды, он сможет украсть всю криптовалюту, внесенную в ее контракты.
«Безопасность существует в широком спектре (ничто не является безопасным на 100%)», — заявила команда, — «и она имеет множество нюансов». Может показаться, что необновляемый контракт более безопасен, чем обновляемый, но это мнение может быть ошибочным. Если контракт не подлежит обновлению, но содержит ошибки, «вы мертвы», — говорится в ветке.
Команда Blast утверждает, что именно по этой причине в протоколе используются обновляемые контракты. Однако ключи от учетной записи Safe находятся «в холодном хранилище, управляемом независимой стороной и географически разделены». По мнению команды, это «высокоэффективный» способ защиты средств пользователей, и именно поэтому L2, такие как «Arbitrum, Optimism и Polygon», также используют этот метод.
Blast — не единственный протокол, который подвергается критике за наличие обновляемых контрактов. В январе основатель Summa Джеймс Прествич заявил, что у моста Stargete (SGT) была та же проблема. В декабре 2022 года протокол Ankr Network (ANKR) подвергся эксплоиту с несанкционированным обновлением смарт-контракта. Эксплоит позволил хакеру создавать из воздуха 20 триллионов Ankr Reward Bearing Staked BNB (aBNBc). В случае с Ankr обновление выполнил бывший сотрудник, который взломал базу данных разработчика, чтобы получить ключ развертывания.
