Blast网络TVL达到4亿美元 打破其过于中心化的指控

根据区块链分析平台DeBank的数据，Web3协议Blast网络自推出以来的四天内，锁定总价值(TVL)已突破4亿美元大关。然而，在11月23日的社交媒体帖子中，Polygon Labs的开发者关系工程师Jarrod Watts却指出，这一新网络由于过于集中化，正面临着严重的安全风险。

Blast 团队回应了其自己的 X(以前的 Twitter)帐户的批评，但没有直接提及 Watts 的帖子。Blast 在自己的帖子中声称该网络与其他第 2 层(包括 Optimism、Arbitrum 和 Polygon)一样去中心化。

关于多重签名安全。

阅读此主题，了解 Blast 以及 Arbitrum、Optimism 和 Polygon 等其他 L2 的安全模型。

— Blast (@Blast_L2) 2023 年 11 月 24 日

根据其官方网站的营销材料，Blast 网络声称是“唯一具有 ETH 和稳定币原生收益的以太坊 L2”。该网站还指出，Blast 允许用户的余额“自动复利”，并且发送给它的稳定币会转换为“USDB”，这是一种通过 MakerDAO 的 T-Bill 协议自动复利的稳定币。Blast 团队尚未发布解释该协议如何工作的技术文件，但表示这些文件将在 1 月份空投发生时发布。

Watts 的原始帖子表示，Blast 的安全性或去中心化程度可能比用户意识到的要低，并 声称 Blast“只是一个 3/5 多重签名”。他声称，如果攻击者控制了五分之三的团队成员的密钥，他们就可以窃取存入其合约中的所有加密货币。

“Blast 只是一个 3/5 多重签名……”

过去几天我深入研究了源代码，看看这个说法是否属实。

这是我学到的一切：

— 贾罗德·瓦茨 (@jarrodWattsDev) 2023 年 11 月 23 日

据 Watts 称，Blast 合约可以通过 Safe(以前称为 Gnosis Safe)多重签名钱包账户进行升级。该账户需要五分之三的签名才能授权任何交易。但如果生成这些签名的私钥被泄露，合约可以升级以生成攻击者想要的任何代码。这意味着成功完成此操作的攻击者可以将全部 4 亿美元的 TVL 转移到他们自己的账户中。

此外，Watts 声称 Blast“不是第 2 层”，尽管其开发团队如此声称。相反，他表示 Blast 只是“接受用户的资金”并“将用户的资金投入到 LIDO 等协议中”，没有使用实际的桥接器或测试网来执行这些交易。此外，它没有提款功能。Watts 声称，为了将来能够提现，用户必须相信开发者会在未来某个时候实现提现功能。

此外，Watts 声称 Blast 包含一个“enableTransition”功能，可用于将任何智能合约设置为“mainnetBridge”，这意味着攻击者无需升级合约即可窃取用户的全部资金。

尽管存在这些攻击媒介，瓦茨声称他不相信 Blast 会损失资金。“就我个人而言，如果我不得不猜测，我认为资金不会被盗，”他表示。但他也警告说，“我个人认为，以目前的状态发送 Blast 资金是有风险的。”

在来自其自己的 X 帐户的帖子中，Blast 团队表示其协议与其他第 2 层协议一样安全。“安全存在于一个范围内(没有什么是 100% 安全的)，”该团队声称，“而且在很多方面都存在细微差别。” 不可升级的合约似乎比可升级的合约更安全，但这种观点可能是错误的。如果合约不可升级但包含错误，“你就死在水里了，”该帖子说。

Blast 团队声称，正是出于这个原因，该协议使用了可升级的合约。然而，Safe 账户的密钥“处于冷藏状态，由独立方管理，并且地理位置分散”。在团队看来，这是一种“非常有效”的保护用户资金的手段，这也是“为什么像 Arbitrum、Optimism [和] Polygon 这样的 L2 也使用这种方法”。

Blast 并不是唯一因拥有可升级合约而受到批评的协议。一月份，Summa 创始人 James Prestwich 认为 Stargate 桥也存在同样的问题。2022 年 12 月，Ankr 协议在其智能合约升级时被利用，允许凭空创建20 万亿 Ankr 奖励轴承质押 BNB(aBNBc)。就 Ankr 而言，升级是由一名前员工执行的，他侵入了开发人员的数据库以获取其部署者密钥。