Nhóm Blast đã phản hồi lại những tuyên bố rằng chức năng nâng cấp đa chữ ký khiến nó trở nên quá tập trung.
Theo dữ liệu từ nền tảng phân tích blockchain DeBank, giao thức Web3 Mạng Blast đã kiếm được hơn 400 triệu USD tổng giá trị bị khóa (TVL) trong 4 ngày kể từ khi ra mắt. Nhưng trong một chủ đề truyền thông xã hội ngày 23 tháng 11, kỹ sư quan hệ nhà phát triển Polygon Labs, Jarrod Watts đã tuyên bố rằng mạng mới gây ra rủi ro bảo mật đáng kể do tính tập trung hóa.
Nhóm Blast đã phản hồi những lời chỉ trích từ tài khoản X (trước đây là Twitter) của chính họ, nhưng không đề cập trực tiếp đến chủ đề của Watts. Trong chủ đề riêng của mình, Blast tuyên bố rằng mạng này được phân cấp như các lớp 2 khác, bao gồm Optimism, Arbitrum và Polygon.
Về bảo mật đa chữ ký.
Đọc chủ đề này để hiểu mô hình bảo mật của Blast cùng với các L2 khác như Arbitrum, Optimism và Polygon.
– Vụ nổ (@Blast_L2) Ngày 24 tháng 11 năm 2023
Mạng Blast tuyên bố là “Ethereum L2 duy nhất có lợi nhuận gốc cho ETH và stablecoin,” theo tài liệu tiếp thị từ trang web chính thức của nó. Trang web cũng tuyên bố rằng Blast cho phép số dư của người dùng được “tự động gộp” và các stablecoin được gửi tới nó sẽ được chuyển đổi thành “USDB”, một loại stablecoin tự động gộp thông qua giao thức T-Bill của MakerDAO. Nhóm Blast chưa phát hành các tài liệu kỹ thuật giải thích cách thức hoạt động của giao thức nhưng cho biết chúng sẽ được xuất bản khi đợt airdrop diễn ra vào tháng 1.
Vụ nổ được phát hành vào ngày 20 tháng 11. Trong bốn ngày qua, TVL của giao thức đã tăng từ 0 lên hơn 400 triệu USD.
Bài đăng ban đầu của Watts cho biết Blast có thể kém an toàn hoặc phi tập trung hơn những gì người dùng nhận ra, đồng thời tuyên bố rằng Blast “chỉ là một đa chữ kí 3/5”. Ông cáo buộc rằng nếu kẻ tấn công giành quyền kiểm soát ba trong số năm khóa của thành viên nhóm, họ có thể đánh cắp tất cả tiền điện tử được gửi vào hợp đồng của mình.
“Blast chỉ là 3/5 multisig…”
Tôi đã dành vài ngày qua để tìm hiểu mã nguồn để xem liệu tuyên bố này có thực sự đúng hay không.
Đây là tất cả những gì tôi đã học được:
– Jarrod Watts (@jarrodWattsDev) Ngày 23 tháng 11 năm 2023
Theo Watts, các hợp đồng Blast có thể được nâng cấp thông qua tài khoản ví đa chữ ký Safe (trước đây là Gnosis Safe). Tài khoản yêu cầu ba trong số năm chữ ký để ủy quyền cho bất kỳ giao dịch nào. Nhưng nếu khóa riêng tạo ra những chữ ký này bị xâm phạm, hợp đồng có thể được nâng cấp để tạo ra bất kỳ mã nào mà kẻ tấn công mong muốn. Điều này có nghĩa là kẻ tấn công thực hiện được điều này có thể chuyển toàn bộ TVL trị giá 400 triệu USD vào tài khoản của chính chúng.
Ngoài ra, Watts còn tuyên bố rằng Blast “không phải là lớp 2”, mặc dù nhóm phát triển của nó đã tuyên bố như vậy. Thay vào đó, Blast chỉ đơn giản là “[a]chấp tiền từ người dùng” và “[s]đưa tiền của người dùng vào các giao thức như LIDO,” mà không có cầu nối hoặc mạng thử nghiệm thực tế nào được sử dụng để thực hiện các giao dịch này. Hơn nữa, nó không có chức năng rút tiền. Để có thể rút tiền trong tương lai, người dùng phải tin tưởng rằng các nhà phát triển sẽ triển khai chức năng rút tiền vào một thời điểm nào đó trong tương lai, Watts tuyên bố.
Ngoài ra, Watts tuyên bố rằng Blast chứa chức năng “enableTransition” có thể được sử dụng để đặt bất kỳ hợp đồng thông minh nào làm “mainnetBridge”, có nghĩa là kẻ tấn công có thể đánh cắp toàn bộ tiền của người dùng mà không cần nâng cấp hợp đồng.
Bất chấp những vectơ tấn công này, Watts khẳng định rằng anh không tin Blast sẽ mất tiền. “Cá nhân tôi, nếu phải đoán, tôi không nghĩ tiền sẽ bị đánh cắp”, ông nói, nhưng cũng cảnh báo rằng “Cá nhân tôi nghĩ việc gửi tiền Blast trong tình trạng hiện tại là rất rủi ro”.
Trong một chủ đề từ tài khoản X của chính mình, nhóm Blast đã tuyên bố rằng giao thức của họ cũng an toàn như các lớp 2 khác. Nhóm khẳng định: “Bảo mật tồn tại trên một phạm vi rộng (không có gì an toàn 100%)” và nó có nhiều sắc thái khác nhau. Có vẻ như hợp đồng không thể nâng cấp sẽ an toàn hơn hợp đồng có thể nâng cấp, nhưng quan điểm này có thể bị nhầm lẫn. Nếu một hợp đồng không thể nâng cấp được nhưng có lỗi, thì “bạn đã chết trong nước”, chủ đề này nêu rõ.
Nhóm Blast tuyên bố giao thức sử dụng các hợp đồng có thể nâng cấp vì lý do này. Tuy nhiên, chìa khóa của tài khoản An toàn là “trong kho lạnh, được quản lý bởi một bên độc lập và tách biệt về mặt địa lý”. Theo quan điểm của nhóm, đây là một phương tiện “có hiệu quả cao” để bảo vệ tiền của người dùng, đó là “tại sao các L2 như Arbitrum, Optimism, Polygon” cũng sử dụng phương pháp này.
Blast không phải là giao thức duy nhất bị chỉ trích vì có hợp đồng có thể nâng cấp. Vào tháng 1, người sáng lập Summa, James Prestwich, đã lập luận rằng cầu Stargate cũng gặp vấn đề tương tự . Vào tháng 12 năm 2022, giao thức Ankr đã bị khai thác khi hợp đồng thông minh của nó được nâng cấp để cho phép tạo ra 20 nghìn tỷ BNB (aBNBc) Phần thưởng Ankr được tạo ra một cách bất ngờ . Trong trường hợp của Ankr, việc nâng cấp được thực hiện bởi một nhân viên cũ đã đột nhập vào cơ sở dữ liệu của nhà phát triển để lấy khóa triển khai.
Theo Cointelegraph