根据区块链分析平台 DeBank 的数据,Web3 协议 Blast 网络自推出以来的四天内,锁定总价值 (TVL) 已超过4 亿美元。但在 11 月 23 日的社交媒体帖子中,Pogon Labs 开发者关系工程师 Jarrod Watts 声称,新网络由于集中化而带来重大安全风险。
Blast 团队回应了其自己的 X(以前的 Twitter)帐户的批评,但没有直接提及 Watts 的帖子。Blast 在自己的帖子中声称该网络与其他第 2 层(包括 Optimi、Arbitrum 和 Pogon)一样去中心化。
根据其官方网站的营销材料,Blast 网络声称是唯一具有 ETH 和稳定币原生收益的以太坊 L2。该网站还指出,Blast 允许用户的余额自动复利,并且发送给它的稳定币会转换为USDB,这是一种通过 MakerDAO 的 T-Bill 协议自动复利的稳定币。Blast 团队尚未发布解释该协议如何工作的技术文件,但表示这些文件将在 1 月份空投发生时发布。
Watts 的原始帖子表示,Blast 的安全性或去中心化程度可能比用户意识到的要低,并 声称 Blast只是一个 3/5 多重签名。他声称,如果攻击者控制了五分之三的团队成员的密钥,他们就可以窃取存入其合约中的所有加密货币。
据 Watts 称,Blast 合约可以通过 Safe(以前称为 Gnosis Safe)多重签名钱包账户进行升级。该帐户需要五分之三的签名才能授权任何交易。但如果生成这些签名的私钥被泄露,合约可以升级以生成攻击者想要的任何代码。这意味着成功完成此操作的攻击者可以将全部 4 亿美元的 TVL 转移到他们自己的账户中。
Watts 表示 Blast不是第 2 层,尽管其开发团队如此声称。相反,他表示 Blast 只是接受用户的资金并将用户的资金投入到 LIDO 等协议中,没有使用实际的桥接器或测试网来执行这些交易。此外,它没有提现功能。Watts 声称,为了将来能够提现,用户必须相信开发者会在未来某个时候实现提现功能。
此外,Watts 声称 Blast 包含一个enableTransition功能,可用于将任何智能合约设置为mainnetBridge,这意味着攻击者无需升级合约即可窃取用户的全部资金。
在来自其自己的 X 帐户的帖子中,Blast 团队表示其协议与其他第 2 层协议一样安全。安全存在于一个范围内(没有什么是 * 安全的),而且在很多方面都存在细微差别。 不可升级的合约似乎比可升级的合约更安全,但这种观点可能是错误的。如果合约不可升级但包含错误,你就完了。
Blast 团队声称,正是出于这个原因,该协议使用了可升级的合约。然而,Safe 账户的密钥处于冷藏状态,由独立方管理,并且地理位置分散。在团队看来,这是一种非常有效的保护用户资金的手段,这也是为什么像 Arbitrum、Optimi [和] Pogon 这样的 L2 也使用这种方。
Blast 并不是唯一因拥有可升级合约而受到批评的协议。一月份,Summa 创始人 James Prestwich 认为 Stargate 桥也存在同样的问题。2022 年 12 月,Ankr 协议在其智能合约升级时被利用,允许凭空创建20 万亿 Ankr 奖励轴承质押 BNB(aBNBc)。就 Ankr 而言,升级是由一名前员工执行的,他侵入了开发人员的数据库以获取其部署者密钥。
