Mạng Blast đạt 400 triệu USD TVL, bác bỏ tuyên bố rằng nó quá tập trung

Giao thức Web3 Blast network đã thu hút hơn 400 triệu đô la về tổng giá trị bị khóa (TVL) chỉ trong bốn ngày kể từ khi ra mắt, theo dữ liệu từ nền tảng phân tích blockchain DeBank.

Blast has reached $443 Million in TVL within 4 days.

52,836 community members are now earning yield (~4% for ETH and 5% for stables) + Blast Points. pic.twitter.com/yiakjeKlss

— Blast (@Blast_L2) November 24, 2023

Nhưng trong một chuỗi bài đăng trên mạng xã hội vào ngày 23 tháng 11, kỹ sư quan hệ phát triển của Polygon Labs, Jarrod Watts, đã cho rằng mạng lưới mới này mang lại những rủi ro lớn về an ninh do tính tập trung hóa. Đội ngũ Blast đã phản hồi với chỉ trích từ tài khoản X của riêng mình, nhưng không đề cập trực tiếp đến chuỗi bài đăng của Watts. Trong chuỗi bài đăng của mình, Blast cho rằng mạng lưới của họ phân tán như các layer 2 khác, bao gồm Optimism, Arbitrum và Polygon.

On multisig security.

Read this thread to understand the security model of Blast along with other L2s like Arbitrum, Optimism, and Polygon.

— Blast (@Blast_L2) November 24, 2023

Theo tài liệu quảng cáo trên trang web chính thức của mình, Blast network tự xưng là "layer 2 Ethereum duy nhất có lợi suất tự nhiên cho ETH và stablecoin." Trang web cũng nói rằng Blast cho phép cân nhắc tự động dư nợ của người dùng và các stablecoin được gửi đến nó sẽ được chuyển đổi thành "USDB," một stablecoin tự động gộp thông qua giao thức T-Bill của MakerDAO. Đội ngũ Blast chưa công bố tài liệu kỹ thuật để giải thích cách giao thức hoạt động, nhưng họ nói rằng sẽ xuất bản khi airdrop diễn ra vào tháng 1.

Bài đăng gốc của Watts nói rằng Blast có thể ít an toàn hoặc phi tập trung hơn so với những gì người dùng nhận ra, với khẳng định rằng Blast "chỉ là một 3/5 multisig." Nếu một kẻ tấn công kiểm soát được ba trong số năm chìa khóa của đội, họ có thể đánh cắp toàn bộ tiền mã hóa được gửi vào hợp đồng của nó, anh ấy cáo buộc.

"Blast is just a 3/5 multisig..."

I spent the past few days diving into the source code to see if this statement is actually true.

Here's everything I learned:

— Jarrod Watts (@jarrodWattsDev) November 23, 2023

Theo Watts, các hợp đồng của Blast có thể được nâng cấp thông qua một tài khoản ví đa chữ ký an toàn (trước đây là Gnosis Safe). Tài khoản yêu cầu ba trong số năm chữ ký để ủy quyền bất kỳ giao dịch nào. Nhưng nếu các chìa khóa riêng tư tạo ra các chữ ký này bị lộ, các hợp đồng có thể được nâng cấp để tạo ra bất kỳ mã nào mà kẻ tấn công muốn. Điều này có nghĩa là kẻ tấn công có thể chuyển toàn bộ TVL 400 triệu đô la vào tài khoản của họ.

Ngoài ra, Watts cũng cho rằng Blast "không phải là một layer 2," mặc dù đội ngũ phát triển khẳng định vậy. Thay vào đó, anh ấy nói rằng Blast đơn giản là "nhận tiền từ người dùng" và "gửi tiền của người dùng vào các giao thức như LIDO" mà không sử dụng cầu nối hoặc mạng lưới thử nghiệm thực sự để thực hiện các giao dịch này. Hơn nữa, nó không có chức năng rút tiền. Để có thể rút trong tương lai, người dùng phải tin rằng các nhà phát triển sẽ thực hiện chức năng rút tiền vào một lúc nào đó trong tương lai, Watts khẳng định.

Ngoài ra, Watts cũng khẳng định rằng Blast chứa một chức năng "enableTransition" có thể được sử dụng để đặt bất kỳ hợp đồng thông minh nào làm "mainnetBridge," có nghĩa là kẻ tấn công có thể đánh cắp toàn bộ tiền của người dùng mà không cần nâng cấp hợp đồng.

Mặc dù có những lỗ hổng tấn công này, Watts cho rằng anh ấy không tin rằng Blast sẽ mất tiền. "Cá nhân tôi nghĩ, nếu tôi phải đoán, tôi không nghĩ rằng tiền sẽ bị đánh cắp," anh ấy tuyên bố. Nhưng anh ấy cũng cảnh báo rằng "Cá nhân tôi nghĩ rằng việc gửi tiền vào Blast trong tình trạng hiện tại là rủi ro."

Trong chuỗi bài đăng từ tài khoản X của Blast, đội ngũ khẳng định rằng giao thức của họ cũng an toàn như các layer-2 khác:

"Bảo mật tồn tại trên một phạm vi rộng (không có gì là 100% an toàn), và nó phức tạp với nhiều sắc thái. Có vẻ như một hợp đồng không thể nâng cấp an toàn hơn một hợp đồng có thể nâng cấp, nhưng quan điểm này có thể là sai lầm. Nếu một hợp đồng không thể nâng cấp nhưng chứa lỗi, "bạn sẽ chết giữa đường"".

There are often misunderstandings when it comes to security. Security exists on a spectrum (nothing is 100% secure) and it's nuanced with many dimensions. There's smart contract security, browser security, physical security. Each dimension has separate attack vectors.

— Blast (@Blast_L2) November 24, 2023

Theo đội ngũ Blast, giao thức sử dụng các hợp đồng có thể nâng cấp vì lý do này. Tuy nhiên, các chìa khóa cho tài khoản Safe được "lưu trữ lạnh, được quản lý bởi một bên độc lập và được phân tách về mặt địa lý." Theo quan điểm của đội ngũ, đây là một phương tiện "hiệu quả cao" để bảo vệ quỹ của người dùng, đó là "lý do tại sao các L2 như Arbitrum, Optimism [và] Polygon" cũng sử dụng phương pháp này.

Blast không phải là giao thức duy nhất bị chỉ trích vì có các hợp đồng có thể nâng cấp. Vào tháng 1, người sáng lập Summa, James Prestwich, đã lập luận rằng giao thức cầu nối Stargate cũng có vấn đề tương tự. Tháng 12 năm 2022, giao thức Ankr đã bị tận dụng khi hợp đồng thông minh của nó được nâng cấp để cho phép tạo ra 20 nghìn tỷ Ankr Reward Bearing Staked BNB (aBNBc) trên trời. Trong trường hợp của Ankr, việc nâng cấp được thực hiện bởi một cựu nhân viên đã đột nhập vào cơ sở dữ liệu của nhà phát triển để lấy chìa khóa triển khai của họ.