По данным аналитической блокчейн-платформы DeBank, сеть Blast достигла $400 миллионов общей заблокированной стоимости (TVL) за четыре дня с момента запуска. Джаррод Уоттс, инженер по связям с разработчиками Polygon Labs, заявил, что новая сеть представляет собой серьезную угрозу безопасности из-за централизации.
Команда Blast ответила на критику со своего аккаунта в твиттере, но без прямой ссылки на ветку Уоттса. В своей теме Blast заявил, что сеть так же децентрализована, как и другие решения Layer 2, включая Optimism, Arbitrum и Polygon.
Сеть Blast утверждает, что является «единственным Ethereum L2 с собственным доходом для ETH и стейблкоинов, согласно маркетинговым материалам на ее официальном сайте. На веб-сайте также говорится, что Blast позволяет автоматически начислять баланс пользователя и что отправленные на него стейблкоины конвертируются в USDB, стейблкоин, который автоматически начисляется через протокол T-Bill MakerDAO. Команда Blast не опубликовала технические документы, объясняющие, как работает протокол, но заявляет, что они будут опубликованы, когда в январе произойдет раздача.
В исходном сообщении Уоттса говорилось, что Blast может быть менее безопасным или децентрализованным, чем думают пользователи, утверждая, что Blast это всего лишь мультиподпись 3/5. По его словам, если злоумышленник получит контроль над тремя из пяти ключей членов команды, он сможет украсть всю криптовалюту, внесенную в ее контракты.
По словам Уоттса, контракты Blast можно обновить с помощью учетной записи кошелька с мультиподписью Safe. Для авторизации любой транзакции требуется три из пяти подписей. Но если секретные ключи, создающие эти подписи, будут скомпрометированы, контракты можно будет обновить для создания любого кода, который пожелает злоумышленник. Это означает, что злоумышленник, осуществивший это, может перевести все $400 миллионов TVL на свой счет.
Кроме того, Уоттс заявил, что Blast не является вторым уровнем, несмотря на то, что ее команда разработчиков так утверждает. Вместо этого, по его словам, Blast просто принимает средства от пользователей и вкладывает средства пользователей в такие протоколы, как Lido, без использования реального моста или тестовой сети для выполнения этих транзакций. Кроме того, у него нет функции вывода средств. По словам Уоттса, чтобы иметь возможность вывода средств в будущем, пользователи должны верить, что разработчики реализуют функцию вывода средств в какой-то момент в будущем.
Кроме того, Уоттс заявил, что Blast содержит функцию «enableTransition», которую можно использовать для установки любого смарт-контракта в качестве «mainnetBridge», что означает, что злоумышленник может украсть все средства пользователей без необходимости обновлять контракт.
Несмотря на эти векторы атак, Уоттс заявил, что не верит, что Blast потеряет свои средства.
«Лично я не думаю, что средства будут украдены» — заявил Уоттс. Но он также предупредил, что «лично я считаю рискованным отправлять средства Blast в их нынешнем состоянии».
В твиттере команда Blast заявила, что ее протокол так же безопасен, как и другие протоколы второго уровня.
«Безопасность существует в широком спектре (ничто не является безопасным на 100%)», — заявила команда, — «и она имеет множество нюансов». Может показаться, что необновляемый контракт более безопасен, чем обновляемый, но это мнение может быть ошибочным. Если контракт не подлежит обновлению, но содержит ошибки, вы мертвы», — сказано в твиттере платформы.
Команда Blast утверждает, что именно по этой причине в протоколе используются обновляемые контракты. Однако ключи от учетной записи Safe находятся «в холодном хранилище, управляемом независимой стороной и географически разделены». По мнению команды, это высокоэффективный способ защиты средств пользователей, и именно поэтому L2, такие как Arbitrum, Optimism и Polygon, также используют этот метод.
Читайте также: