Blast Network 在安全和去中心化问题中在几天内积累了 $400M
Summary:
Blast 网络是一种 Web3 协议,在推出后的四天内已累积超过 4 亿美元的总锁定价值 (TVL)。然而,Polygon Labs 的开发人员关系工程师 Jarrod Watts 提出了对其安全性和去中心化的担忧。Watts 声称,如果攻击者在 Blast 的 3/5 多重签名机制中控制了五分之三的团队成员密钥,他们可能会窃取存入合约的所有加密货币。尽管有这些警告,但 Blast 团队坚持认为他们遵循类似于其他 Layer-2 平台的最佳实践安全协议,并且与其合约相关的密钥被安全存储。
根据区块链分析平台DeBank的统计数据,区块链协议Blast网络在成立后的短短四天内就积累了超过4亿美元的总锁定价值(TVL)。尽管如此,Polygon Labs 的开发者关系工程师 Jarrod Watts 于 11 月 23 日在社交媒体上分享的一条帖子暗示,由于其中心化,这种新型网络可能会带来严重的安全隐患。针对这一没有直接提及 Watts 线程的指控,Blast 通过自己的社交媒体账户(以前称为 Twitter)捍卫了自己的立场,称其网络去中心化与 Optimism、Arbitrum 和 Polygon 等其他第 2 层相似。
正如其宣传文件所述,Blast 网络将自己定位为唯一的以太坊 L2,为 ETH 和稳定币提供原生收益。据官网介绍,用户在 Blast 上的余额体验自动复利,发送到平台的稳定币被转换为 USDB,这是一种通过 MakerDAO 的 T-Bill 协议自动复利的稳定币。虽然 Blast 团队尚未透露该协议的技术流程,但该团队已表示,它们将在 1 月份的空投活动举行时提供。自 11 月 20 日推出以来,Blast 的 TVL 在短短四天内从零飙升至超过 4 亿美元。
Watts 在他的原始帖子中强调,Blast 可能不如用户想象的那么安全或去中心化,并表达了对 3/5 多重签名机制对安全漏洞的潜在脆弱性的担忧。在他的理论中,一个对手如果控制了五分之三的团队成员的密钥,就有可能窃取存入其合约的所有加密货币。
Watts解释说,Blast合约可以通过Safe(以前称为Gnosis Safe)多重签名钱包账户进行修改,该账户要求五个签名中至少有三个签名来授权任何交易。如果生成这些签名的私钥被泄露,则会发生潜在的安全漏洞,然后可以操纵合约以生成攻击者所需的自定义代码。在这种情况下,攻击者理论上可以将整个 4 亿美元的 TVL 转入他们的个人账户。
此外,Watts 声称,尽管有声明,但 Blast 并不具备真正的第 2 层资格,而只是接受用户的资金并将其质押到 LIDO 等协议中,而没有使用任何实际的桥接或测试网进行这些交易。Watts 进一步批评平台中没有提款功能,让用户依赖开发人员稍后加入此功能。Watts 还发现了 Blast 中的一个“enableTransition”函数,该函数可能允许攻击者将任何智能合约设置为“mainnetBridge”,从而可以在无需调整合约设置的情况下耗尽用户的全部资金。
尽管存在这些潜在的攻击风险,但 Watts 表示怀疑 Blast 是否会遭受资金挪用,并建议那些考虑在当前状态下向 Blast 发送资金的人保持谨慎。在他们自己的社交媒体账户的回应帖子中,Blast团队保证他们的协议的安全性与其他第2层平台相当,这表明虽然不可升级的合约可能看起来更安全,但如果包含错误,它们的问题就更大了。Blast 团队证明了使用可升级合约的合理性,并保证 Safe 帐户的相关密钥由独立的托管人在冷库中安全管理,并具有地理分散性以增加安全性。
对可升级合同的批评并非Blast所独有,因为Summa的创始人詹姆斯·普雷斯特维奇(James Prestwich)在1月份也针对类似问题对星际之门桥进行了批评。2022 年 12 月,一名前工作人员未经授权访问开发人员数据库并检索部署者密钥后,他们的智能合约被辩论为允许从无到有创建 20 万亿 Ankr 奖励抵押质押 BNB (aBNBc)。
Published At
11/24/2023 9:36:59 PM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.