شبکه Blast به TVL 400 میلیون دلاری رسید، اما ادعا می شود که بیش از حد متمرکز است

طبق داده‌های پلتفرم تجزیه و تحلیل بلاک چین DeBank، شبکه Blast پروتکل Web3 در چهار روز پس از راه‌اندازی، بیش از 400 میلیون دلار ارزش کل قفل شده (TVL) به دست آورده است. اما در یک موضوع در 23 نوامبر در رسانه های اجتماعی، مهندس روابط توسعه دهنده Polygon Labs، Jarrod Watts ادعا کرد که شبکه جدید به دلیل تمرکز، خطرات امنیتی قابل توجهی دارد.

تیم Blast به انتقاد از حساب X خود (توئیتر سابق) پاسخ داد، اما بدون اشاره مستقیم به موضوع Watts. Blast در تاپیک خود ادعا کرد که شبکه به اندازه سایر لایه‌های 2 غیرمتمرکز است، از جمله Optimism، Arbitrum و Polygon.

طبق مطالب بازاریابی وب‌سایت رسمی آن، شبکه Blast ادعا می‌کند که «تنها اتریوم L2 با بازده بومی برای ETH و استیبل کوین‌ها» است. این وب‌سایت همچنین بیان می‌کند که Blast به موجودی کاربر اجازه می‌دهد تا «ترکیب خودکار» شود و استیبل کوین‌هایی که به آن ارسال می‌شوند به «USDB» تبدیل می‌شوند، یک استیبل کوین که به‌طور خودکار از طریق پروتکل T-Bill MakerDAO ترکیب می‌شود. تیم Blast اسناد فنی درباره نحوه عملکرد این پروتکل را منتشر نکرده است، اما می‌گوید که زمانی که airdrop در ژانویه انجام شود، منتشر خواهد شد.

پست اصلی Watts می‌گوید که Blast ممکن است کمتر از آنچه کاربران تصور می‌کنند امن یا غیرمتمرکز باشد، ادعا کردن که Blast “فقط یک مولتی سیگ 3/5 است.” به گفته او، اگر مهاجمی کنترل سه کلید از پنج عضو تیم را در دست بگیرد، می‌تواند تمام رمزارزهای سپرده شده در قراردادهایش را بدزدد.

طبق گفته Watts، قراردادهای Blast را می توان از طریق یک حساب کیف پول چند امضایی Safe (که قبلا Gnosis Safe نام داشت) ارتقا داد. حساب برای تأیید هر تراکنش به سه امضا از پنج امضا نیاز دارد. اما اگر کلیدهای خصوصی که این امضاها را تولید می کنند به خطر بیفتند، قراردادها را می توان برای تولید هر کدی که مهاجم می خواهد ارتقا داد. این بدان معناست که مهاجمی که این کار را انجام دهد می تواند کل 400 میلیون دلار TVL را به حساب خود منتقل کند.

علاوه بر این، واتس ادعا کرد که Blast “یک لایه 2 نیست”، علیرغم ادعای تیم توسعه دهنده آن. در عوض، او گفت که Blast به سادگی “وجوه کاربران را می پذیرد” و “وجوه کاربران را در پروتکل هایی مانند LIDO قرار می دهد” بدون اینکه هیچ پل یا شبکه آزمایشی واقعی برای انجام این تراکنش ها استفاده نشود. علاوه بر این، عملکرد برداشت ندارد. واتس ادعا کرد که برای اینکه بتوانند در آینده برداشت کنند، کاربران باید اطمینان داشته باشند که توسعه دهندگان عملکرد برداشت را در نقطه ای در آینده اجرا خواهند کرد.

علاوه بر این، واتس ادعا کرد که Blast حاوی یک تابع “enableTransition” است که می تواند برای تنظیم هر قرارداد هوشمند به عنوان “mainnetBridge” استفاده شود، به این معنی که یک مهاجم می تواند کل سرمایه کاربران را بدون نیاز به ارتقاء قرارداد به سرقت ببرد.

علیرغم این بردارهای حمله، واتس ادعا کرد که باور ندارد Blast سرمایه خود را از دست بدهد. او اظهار داشت: «شخصاً، اگر بخواهم حدس بزنم، فکر نمی‌کنم وجوه به سرقت برود.» اما او همچنین هشدار داد که “من شخصا فکر می کنم ارسال وجوه بلاست در وضعیت فعلی خطرناک است.”

در یک موضوع از حساب X خودش، تیم Blast اظهار داشت که پروتکل آن به اندازه سایر لایه های ۲ ایمن است. تیم مدعی شد: “امنیت در یک طیف وجود دارد (هیچ چیز 100٪ ایمن نیست) “و دارای ابعاد مختلفی است.” ممکن است به نظر برسد که قرارداد غیرقابل ارتقا ایمن تر از قرارداد قابل ارتقا است، اما این دیدگاه ممکن است اشتباه باشد. اگر قراردادی غیرقابل ارتقا باشد، اما دارای اشکال باشد، در تاپیک گفته شده است: «شما در آب مرده‌اید».

مربوط: بحث Uniswap DAO نشان می‌دهد که توسعه‌دهندگان همچنان برای ایمن کردن پل‌های زنجیره‌ای متقابل تلاش می‌کنند

تیم Blast ادعا می کند که این پروتکل از قراردادهای قابل ارتقا به همین دلیل استفاده می کند. با این حال، کلیدهای حساب ایمن «در سردخانه، توسط یک شخص مستقل مدیریت می‌شوند و از نظر جغرافیایی جدا هستند». از نظر این تیم، این یک ابزار “بسیار موثر” برای محافظت از وجوه کاربران است، به همین دلیل است که “L2s مانند Arbitrum، Optimism” [and] Polygon” نیز از این روش استفاده می کنند.

Blast تنها پروتکلی نیست که به دلیل داشتن قراردادهای قابل ارتقا مورد انتقاد قرار گرفته است. در ژانویه، جیمز پرستویچ، بنیانگذار Summa، استدلال کرد که پل استارگیت نیز همین مشکل را دارد. در دسامبر 2022، پروتکل Ankr زمانی که قرارداد هوشمند آن ارتقا یافت، مورد بهره برداری قرار گرفت تا اجازه دهد 20 تریلیون Ankr Reward Bearing Staked BNB (aBNBc) از هوای رقیق ایجاد شود. در مورد Ankr، ارتقاء توسط یک کارمند سابق انجام شد که پایگاه داده توسعه دهنده را هک کرد تا کلید توسعه دهنده آن را بدست آورد.