تیم Blast به این ادعاها پاسخ داد که عملکرد ارتقای چند امضای آن باعث متمرکز شدن بیش از حد آن می شود.
طبق دادههای پلتفرم تجزیه و تحلیل بلاک چین DeBank، شبکه Blast پروتکل Web3 در چهار روز پس از راهاندازی، بیش از ۴۰۰ میلیون دلار ارزش کل قفل شده (TVL) به دست آورده است.
اما در یک موضوع در ۲۳ نوامبر در رسانه های اجتماعی، Jarrod Watts ، مهندس روابط توسعه دهنده Polygon Labs، ادعا کرد که شبکه جدید به دلیل تمرکز، خطرات امنیتی قابل توجهی دارد.
او در تاپیک خود ادعا کرد که شبکه به اندازه سایر لایههای ۲ غیرمتمرکز است، از جمله Optimism، Arbitrum و Polygon.
طبق مطالب بازاریابی وبسایت رسمی آن، شبکه Blast ادعا میکند که تنها اتریوم L2 با بازده بومی برای ETH و استیبل کوینها است.
این وبسایت همچنین بیان میکند که Blast به موجودی کاربر اجازه میدهد تا «auto-compounded» یا به طور خودکار ترکیب شود و استیبل کوینهایی که به آن ارسال میشوند به «USDB» تبدیل میشوند، یک استیبل کوین که بهطور خودکار از طریق پروتکل T-Bill MakerDAO ترکیب میشود.
تیم Blast اسناد فنی درباره نحوه عملکرد این پروتکل را منتشر نکرده است، اما میگوید که زمانی که airdrop در ژانویه انجام شود، منتشر خواهد شد.
پست اصلی Watts میگوید Blast ممکن است کمتر از آنچه کاربران تصور میکنند امن یا غیرمتمرکز باشد، و ادعا میکند که Blast «فقط یک multisig 3/5 است». به گفته او، اگر مهاجمی کنترل سه کلید از پنج عضو تیم را در دست بگیرد، میتواند تمام رمزارزهای سپرده شده در قراردادهایش را بدزدد.
طبق گفته Watts، قراردادهای Blast را می توان از طریق یک حساب کیف پول چند امضایی Safe (که قبلا Gnosis Safe نام داشت) ارتقا داد.
حساب برای تأیید هر تراکنش به سه امضا از پنج امضا نیاز دارد. اما اگر کلیدهای خصوصی که این امضاها را تولید می کنند به خطر بیفتند، قراردادها را می توان برای تولید هر کدی که مهاجم می خواهد ارتقا داد.
این بدان معناست که مهاجمی که این کار را انجام دهد می تواند کل ۴۰۰ میلیون دلار TVL را به حساب خود منتقل کند.
علاوه بر این، Watts علیرغم ادعای تیم توسعه دهنده آن ادعا کرد که Blast “یک لایه ۲ نیست” . در عوض، او گفت که Blast به سادگی وجوه کاربران را می پذیرد و وجوه کاربران را در پروتکل هایی مانند LIDO قرار می دهد بدون اینکه هیچ پل یا شبکه آزمایشی واقعی برای انجام این تراکنش ها استفاده شود.
علاوه بر این، عملکرد برداشت ندارد. Watts ادعا کرد که برای اینکه بتوانند در آینده برداشت کنند، کاربران باید اطمینان داشته باشند که توسعه دهندگان عملکرد برداشت را در نقطه ای در آینده اجرا خواهند کرد.
علاوه بر این، Watts ادعا کرد که Blast حاوی یک تابع “enableTransition” است که می تواند برای تنظیم هر قرارداد هوشمند به عنوان “mainnetBridge” استفاده شود، به این معنی که یک مهاجم می تواند کل سرمایه کاربران را بدون نیاز به ارتقاء قرارداد به سرقت ببرد.
علیرغم این بردارهای حمله، Watts ادعا کرد که باور ندارد Blast سرمایه خود را از دست بدهد. او اظهار داشت:
«شخصاً، اگر بخواهم حدس بزنم، فکر نمیکنم وجوه به سرقت برود. من شخصا فکر می کنم ارسال وجوه Blast در وضعیت فعلی خطرناک است.»
در یک رشته از حساب X خود، تیم Blast بیان کرد که پروتکل آن به اندازه لایههای ۲ دیگر ایمن است. تیم مدعی شد:
«امنیت در یک طیف وجود دارد (هیچ چیز ۱۰۰٪ ایمن نیست) و دارای ابعاد مختلفی است. ممکن است به نظر برسد که قرارداد غیرقابل ارتقا ایمن تر از قرارداد قابل ارتقا است، اما این دیدگاه ممکن است اشتباه باشد.»
تیم Blast ادعا می کند که این پروتکل از قراردادهای قابل ارتقا به همین دلیل استفاده می کند. با این حال، کلیدهای حساب ایمن « توسط یک شخص مستقل مدیریت میشوند و از نظر جغرافیایی جدا هستند».
از نظر این تیم، این یک وسیله بسیار موثر برای محافظت از سرمایه کاربر است، به همین دلیل است که “L2s مانند Arbitrum، Optimism و Polygon” نیز از این روش استفاده می کنند.
Blast تنها پروتکلی نیست که به دلیل داشتن قراردادهای قابل ارتقا مورد انتقاد قرار گرفته است. در ژانویه، جیمز پرستویچ، بنیانگذار Summa، استدلال کرد که Stargate bridge نیز همین مشکل را دارد .
در دسامبر ۲۰۲۲، پروتکل Ankr هنگامی که قرارداد هوشمند آن به روز شد مورد بهره برداری قرار گرفت تا اجازه دهد ۲۰ تریلیون Ankr Reward Bearing Staked BNB (aBNBc) از thin air ایجاد شود .
در مورد Ankr، ارتقاء توسط یک کارمند سابق انجام شد که پایگاه داده توسعه دهنده را هک کرد تا کلید توسعه دهنده آن را بدست آورد.
