根据区块链分析平台DeBank的数据,Web3协议Blast网络自推出以来的四天内,锁定总价值已超过4亿美元。但在11月23日的一条社交媒体帖子中,Polygon Labs的开发者关系工程师Jarrod Watts声称,由于集中化,新网络带来了重大的安全风险。
Blast团队回应了来自其自己的X(前身为推特)账户的批评,但没有直接提及Watts的帖子。Blast在自己的帖子中声称,该网络与其他第二层一样是去中心化的,包括Optimism、Arbitrum和Polygon。
关于多屏幕安全。阅读本线程,了解Blast以及其他L2(如Arbitrum、Optimism和Polygon)的安全模型Blast(@Blast_L2)2023年11月24日
根据其官方网站上的营销材料,Blast网络声称是“唯一一个ETH和稳定币原生收益率的以太坊L2”。该网站还表示,Blast允许用户的余额“自动复合”,发送给它的稳定币将转换为“USDB”,这是一种通过MakerDAO的T-Bill协议自动复合的稳定币。Blast团队尚未公布解释该协议如何运作的技术文件,但表示将在1月份空投时公布。
Blast于11月20日发布。在其间的四天里,该协议的TVL已从零增长到超过4亿美元。
Watts最初的帖子称,Blast可能没有用户意识到的那么安全或去中心化,声称Blast“只是一个3/5多签名”。他声称,如果攻击者控制了五分之三的团队成员的密钥,他们就可以窃取存入其合同的所有加密货币。
“Blast只是一个3/5的multisig……”在过去的几天里,我深入研究了源代码,看看这句话是否属实。以下是我学到的一切:——Jarrod Watts(@jarrodWattsDev)2023年11月23日
根据Watts的说法,Blast合同可以通过Safe(前身为Gnosis Safe)多签名钱包账户升级。该账户需要五分之三的签名才能授权任何交易。但是,如果产生这些签名的私钥被泄露,则可以升级合同以产生攻击者想要的任何代码。这意味着攻击者可以将4亿美元的TVL全部转入自己的账户。
此外,Watts声称Blast“不是第二层”,尽管其开发团队声称如此,Blast只是“[a]接受用户的资金”和“[s]将用户的资金纳入LIDO等协议,”而没有实际的网桥或测试网来执行这些交易。此外,它没有提款功能。Watts声称,为了能够在未来提款,用户必须相信开发人员会在未来的某个时候实现提款功能。
此外,Watts声称Blast包含一个“enableTransition”功能,可用于将任何智能合约设置为“mainnetBridge”,这意味着攻击者可以在不需要升级合约的情况下窃取用户的全部资金。
尽管有这些攻击媒介,瓦茨声称他不相信Blast会失去资金。“就我个人而言,如果非要我猜测的话,我不认为这些资金会被盗”,他表示,但也警告说,“我个人认为,以目前的状态发送Blast资金是有风险的。”
Blast团队在其X账户的一条帖子中表示,其协议与其他第二层协议一样安全。该团队声称:“安全存在于一个范围内(没有什么是100%安全的),它在许多方面都是微妙的。”看起来不可升级的合同比可升级的更安全,但这种观点可能是错误的。如果一个合同是不可升级的,但包含错误,“你就死在水里了,”帖子写道。
相关:Uniswap DAO辩论表明开发者仍在努力确保跨链桥梁的安全
Blast团队声称,正是出于这个原因,协议使用了可升级的合同。然而,安全账户的密钥是“冷藏的,由独立的一方管理,并且在地理上是分开的。”在团队看来,这是一种“高效”的保护用户资金的手段,这就是“为什么像Arbitrum、Optimism、Polygon这样的L2也使用这种方法”。
Blast并不是唯一一个因具有可升级合同而受到批评的协议。今年1月,Summa创始人詹姆斯·普雷斯特维奇(James Prestwich)辩称,Stargate大桥也存在同样的问题。2022年12月,Ankr协议在其智能合约升级时被利用,以允许凭空创建20万亿Ankr奖励持有的BNB(aNBc)。在Ankr的案例中,升级是由一名前员工执行的,他侵入了开发人员的数据库以获取其部署程序密钥。
编辑:web3528btc 来源:加密钱包代币
