شبکه انفجار به 400 میلیون دلار TVL می رسد، ادعاهایی مبنی بر اینکه بیش از حد متمرکز از بین رفته است

تیم Blast به این ادعاها پاسخ داده است که عملکرد ارتقاء چند امضایی آن را بیش از حد متمرکز کرده است.

طبق داده‌های پلت‌فرم تحلیل بلاک چین DeBank، شبکه Blast پروتکل Web3 در چهار روز پس از راه‌اندازی، بیش از ۴۰۰ میلیون دلار ارزش کل قفل شده (TVL) کسب کرده است. با این حال، در موضوعی که در 23 نوامبر در رسانه‌های اجتماعی منتشر شد، مهندس روابط توسعه‌دهنده Polygon Labs، Jarrod Watts ادعا کرد که شبکه جدید به دلیل تمرکز، خطرات امنیتی قابل‌توجهی دارد.

تیم Blast در حساب کاربری X (توئیتر سابق) خود به این انتقاد پاسخ داد، اما مستقیماً به موضوع واتس اشاره نکرد. بلاست در تاپیک خود ادعا کرد که شبکه به اندازه سایر لایه‌های 2 غیرمتمرکز است، از جمله Optimism، Arbitrum و Polygon.

درباره امنیت چند امضایی

برای درک مدل امنیتی Blast و سایر L2 ها مانند Arbitrum، Optimism و Polygon، این مبحث را بخوانید.

– انفجار (@Blast_L2) 24 نوامبر 2023

طبق مطالب بازاریابی در وب‌سایت رسمی، شبکه Blast ادعا می‌کند که «تنها اتریوم L2 است که بازدهی بومی را برای ETH و استیبل کوین‌ها فراهم می‌کند». این وب‌سایت همچنین خاطرنشان می‌کند که Blast اجازه «ترکیب خودکار» موجودی کاربر را می‌دهد و استیبل کوین‌های ارسال شده به آن به «USDB» تبدیل می‌شوند، یک استیبل کوین که به‌طور خودکار از طریق پروتکل T-Bill MakerDAO ترکیب می‌شود. تیم Blast مستندات فنی درباره نحوه عملکرد این پروتکل را منتشر نکرده است، اما می‌گوید که زمانی که ایردراپ در ژانویه انجام شود، منتشر خواهند شد.

Blast در 20 نوامبر منتشر شد. در فاصله چهار روزه، TVL پروتکل از صفر به بیش از 400 میلیون دلار افزایش یافت.

پست اصلی Watts اشاره می کند که Blast ممکن است کمتر از آنچه کاربران فکر می کنند ایمن یا غیرمتمرکز باشد: ادعاها Blast “فقط 3/5 چند امضایی است.” او ادعا کرد که اگر یک مهاجم کنترل کلیدهای سه نفر از پنج عضو تیم را به دست بیاورد، می تواند تمام ارزهای رمزنگاری شده سپرده شده در قراردادها را بدزدد.

"Blast فقط یک امضای 3/5 است…"

من چند روز گذشته را صرف بررسی کد منبع کردم تا ببینم آیا این عبارت واقعاً درست است یا خیر.

همه چیزهایی که یاد گرفتم اینجاست:

– جارود واتس (@jarrodWattsDev) 23 نوامبر 2023

طبق گفته Watts، قراردادهای Blast را می توان از طریق حساب کیف پول چند امضایی Safe (که قبلا Gnosis Safe نام داشت) ارتقا داد. برای تایید هر تراکنش در حساب، از هر پنج امضا، سه امضا لازم است. با این حال، اگر کلیدهای خصوصی که این امضاها را تولید می‌کنند به خطر بیفتند، می‌توان قراردادها را برای تولید هر کدی که مهاجم می‌خواهد ارتقا داد. این بدان معناست که مهاجمی که موفق به انجام این کار شده است می تواند کل 400 میلیون دلار TVL را به حساب خود منتقل کند.

علاوه بر این، واتس ادعا کرد که برخلاف ادعای تیم توسعه، Blast “لایه 2 نیست”. فقط از Blast استفاده کنید”[a]وجوه از کاربران می پذیرد” و “[s]وجوه کاربران را بدون استفاده از پل های واقعی یا شبکه های آزمایشی برای انجام این تراکنش ها در پروتکل هایی مانند LIDO دریافت می کند. همچنین هیچ عملکرد برداشت وجود ندارد. واتس ادعا کرد که برای اینکه بتوانند در آینده عقب نشینی کنند، باید اعتماد داشته باشند که توسعه دهندگان تابع عقب نشینی را در مقطعی در آینده پیاده سازی خواهند کرد.

علاوه بر این، واتس ادعا کرد که Blast دارای یک تابع “enableTransition” است که می تواند برای تنظیم هر قرارداد هوشمند روی “mainnetBridge” استفاده شود. این بدان معناست که یک مهاجم می تواند کل سرمایه کاربران را بدون نیاز به ارتقاء قرارداد به سرقت ببرد.

علیرغم این بردارهای حمله، واتس ادعا کرد که باور ندارد Blast سرمایه خود را از دست بدهد. او گفت: «شخصاً، اگر مجبور باشم حدس بزنم، فکر نمی‌کنم وجوه به سرقت برود»، اما همچنین هشدار داد: «شخصاً فکر می‌کنم ارسال وجوه بلاست به شکل فعلی خطرناک است.»

انفجار تیم در یک رشته در حساب X خود اظهار داشت که پروتکل آن به اندازه سایر لایه های ۲ ایمن است. این تیم ادعا کرد: “امنیت به طور گسترده وجود دارد (هیچ چیز 100٪ ایمن نیست) و ابعاد زیادی دارد.” ممکن است تصور شود که یک قرارداد غیرقابل ارتقا ایمن تر از یک قرارداد قابل ارتقا است، اما این دیدگاه ممکن است اشتباه باشد. اگر قراردادی را نمی توان ارتقا داد اما حاوی خطاهایی بود، “شما در آب مرده اید” بیان شد.

مرتبط با: جنجال Uniswap DAO نشان می دهد که توسعه دهندگان هنوز در تلاش برای ایمن کردن پل های زنجیره ای هستند

تیم Blast ادعا می کند که این پروتکل از قراردادهای قابل ارتقا به همین دلیل استفاده می کند. اما کلیدهای اکانت Safe “در سردخانه، توسط یک حزب مستقل مدیریت می شود و از نظر جغرافیایی مجزا هستند.” به نظر این تیم، این یک روش “بسیار موثر” برای محافظت از وجوه کاربران است. بنابراین “L2هایی مانند Arbitrum، Optimism، Polygon نیز از این روش استفاده می کنند.”

Blast تنها پروتکلی نیست که به دلیل داشتن قراردادهای قابل ارتقا مورد انتقاد قرار گرفته است. در ژانویه، جیمز پرستویچ، بنیانگذار Summa، استدلال کرد که پل استارگیت نیز همین مشکل را دارد. در دسامبر 2022، پروتکل Ankr زمانی که قرارداد هوشمند آن به روز شد، مورد بهره برداری قرار گرفت تا اجازه ایجاد 20 تریلیون Ankr Rewarding Staked BNB (aBNBc) از هوای رقیق را بدهد. در پرونده Ankr، ارتقاء توسط یک کارمند سابق انجام شد که به پایگاه داده توسعه دهنده نفوذ کرده و کلید توزیع را به دست آورد.

نویسنده: Tom Blackstone