Blast 網絡 TVL 達到 4 億美元反駁其過於中心化的說法

2023-11-25 05:11:31

Blast 團隊回應稱其多重籤名升級功能使其過於中心化。

根據區塊鏈分析平臺 DeBank 的數據，Web3 協議 Blast 網絡自推出以來的四天內，鎖定總價值 (TVL) 已超過4 億美元。但在 11 月 23 日的社交媒體帖子中，Polygon Labs 开發者關系工程師 Jarrod Watts 聲稱，新網絡由於集中化而帶來重大安全風險。

Blast 團隊回應了其自己的 X（以前的 Twitter）帳戶的批評，但沒有直接提及 Watts 的帖子。Blast 在自己的帖子中聲稱該網絡與其他第 2 層（包括 Optimism、Arbitrum 和 Polygon）一樣去中心化。

根據其官方網站的營銷材料，Blast 網絡聲稱是“唯一具有 ETH 和穩定幣原生收益的以太坊 L2”。該網站還指出，Blast 允許用戶的余額“自動復利”，並且發送給它的穩定幣會轉換為“USDB”，這是一種通過 MakerDAO 的 T-Bill 協議自動復利的穩定幣。Blast 團隊尚未發布解釋該協議如何工作的技術文件，但表示這些文件將在 1 月份空投發生時發布。

Watts 的原始帖子表示，Blast 的安全性或去中心化程度可能比用戶意識到的要低，並聲稱 Blast“只是一個 3/5 多重籤名”。他聲稱，如果攻擊者控制了五分之三的團隊成員的密鑰，他們就可以竊取存入其合約中的所有加密貨幣。

據 Watts 稱，Blast 合約可以通過 Safe（以前稱為 Gnosis Safe）多重籤名錢包账戶進行升級。該帳戶需要五分之三的籤名才能授權任何交易。但如果生成這些籤名的私鑰被泄露，合約可以升級以生成攻擊者想要的任何代碼。這意味着成功完成此操作的攻擊者可以將全部 4 億美元的 TVL 轉移到他們自己的账戶中。

此外，Watts 聲稱 Blast“不是第 2 層”，盡管其开發團隊如此聲稱。相反，他表示 Blast 只是“接受用戶的資金”並“將用戶的資金投入到 LIDO 等協議中”，沒有使用實際的橋接器或測試網來執行這些交易。此外，它沒有提款功能。Watts 聲稱，為了能夠在未來提現，用戶必須相信开發者會在未來某個時候實現提現功能。

此外，Watts 聲稱 Blast 包含一個“enableTransition”功能，可用於將任何智能合約設置為“mainnetBridge”，這意味着攻擊者無需升級合約即可竊取用戶的全部資金。

盡管存在這些攻擊媒介，瓦茨聲稱他不相信 Blast 會損失資金。“就我個人而言，如果我不得不猜測，我認為資金不會被盜，”他表示。但他也警告說，“我個人認為，以目前的狀態發送 Blast 資金是有風險的。”

在來自其自己的 X 帳戶的帖子中，Blast 團隊表示其協議與其他第 2 層協議一樣安全。“安全存在於一個範圍內（沒有什么是 100% 安全的），”該團隊聲稱，“而且在很多方面都存在細微差別。” 不可升級的合約似乎比可升級的合約更安全，但這種觀點可能是錯誤的。如果合約不可升級但包含錯誤，“你就死在水裏了，”該帖子說。

相關：Uniswap DAO 辯論表明开發人員仍在努力確保跨鏈橋梁的安全

Blast 團隊聲稱，正是出於這個原因，該協議使用了可升級的合約。然而，Safe 账戶的密鑰“處於冷藏狀態，由獨立方管理，並且地理位置分散”。在團隊看來，這是一種“非常有效”的保護用戶資金的手段，這也是“為什么像 Arbitrum、Optimism [和] Polygon 這樣的 L2 也使用這種方法”。

Blast 並不是唯一因擁有可升級合約而受到批評的協議。一月份，Summa 創始人 James Prestwich 認為 Stargate 橋也存在同樣的問題。2022 年 12 月，Ankr 協議在其智能合約升級時被利用，允許憑空創建20 萬億 Ankr 獎勵軸承質押 BNB（aBNBc）。就 Ankr 而言，升級是由一名前員工執行的，他侵入了开發人員的數據庫以獲取其部署者密鑰。