Das Web3-Protokoll verfügt über ein Blast-Netzwerk gewonnen Laut Daten der Blockchain-Analyseplattform DeBank hat sich der Total Value Locked (TVL) in den vier Tagen seit seiner Einführung auf über 400 Millionen US-Dollar belaufen. Doch in einem Social-Media-Thread vom 23. November behauptete Jarrod Watts, Developer Relations Engineer bei Polygon Labs, dass das neue Netzwerk aufgrund der Zentralisierung erhebliche Sicherheitsrisiken berge.
Das Blast-Team reagierte auf die Kritik von seinem eigenen X-Account (ehemals Twitter), ohne jedoch direkt auf Watts‘ Thread Bezug zu nehmen. In seinem eigenen Thread behauptete Blast, dass das Netzwerk genauso dezentralisiert sei wie andere Layer-2-Netzwerke, darunter Optimism, Arbitrum und Polygon.
Zur Multisig-Sicherheit.
Lesen Sie diesen Thread, um das Sicherheitsmodell von Blast zusammen mit anderen L2s wie Arbitrum, Optimism und Polygon zu verstehen.
– Explosion (@Blast_L2) 24. November 2023
Laut Marketingmaterial auf seiner offiziellen Website behauptet das Blast-Netzwerk, „das einzige Ethereum L2 mit nativer Rendite für ETH und Stablecoins“ zu sein. Auf der Website heißt es außerdem, dass Blast es ermöglicht, das Guthaben eines Benutzers „automatisch zusammenzusetzen“ und dass an ihn gesendete Stablecoins in „USDB“ umgewandelt werden, einen Stablecoin, der über das T-Bill-Protokoll von MakerDAO automatisch zusammengesetzt wird. Das Blast-Team hat keine technischen Dokumente veröffentlicht, die die Funktionsweise des Protokolls erläutern, sagt aber, dass sie veröffentlicht werden, wenn der Airdrop im Januar stattfindet.
Im ursprünglichen Beitrag von Watts hieß es, Blast sei möglicherweise weniger sicher oder dezentralisiert, als die Benutzer glauben. behaupten dieser Blast „ist nur ein 3/5 Multisig.“ Wenn ein Angreifer die Kontrolle über die Schlüssel von drei der fünf Teammitglieder erlangt, kann er die gesamte in seinen Verträgen hinterlegte Kryptowährung stehlen, behauptete er.
„Blast ist nur ein 3/5 Multisig…“
Ich habe die letzten Tage damit verbracht, in den Quellcode einzutauchen, um zu sehen, ob diese Aussage tatsächlich wahr ist.
Hier ist alles, was ich gelernt habe:
– Jarrod Watts (@jarrodWattsDev) 23. November 2023
Laut Watts können die Blast-Verträge über ein Safe-Multisignatur-Wallet-Konto (ehemals Gnosis Safe) aktualisiert werden. Das Konto erfordert drei von fünf Unterschriften, um eine Transaktion zu autorisieren. Wenn jedoch die privaten Schlüssel, die diese Signaturen erzeugen, kompromittiert werden, können die Verträge aktualisiert werden, um jeden vom Angreifer gewünschten Code zu erzeugen. Dies bedeutet, dass ein Angreifer, der dies schafft, den gesamten TVL in Höhe von 400 Millionen US-Dollar auf sein eigenes Konto überweisen könnte.
Darüber hinaus behauptete Watts, dass Blast „kein Layer 2“ sei, obwohl das Entwicklungsteam dies behauptete. Stattdessen sagte er, dass Blast einfach „Gelder von Benutzern annimmt“ und „Benutzergelder in Protokolle wie LIDO steckt“, ohne dass eine tatsächliche Brücke oder ein Testnetz zur Durchführung dieser Transaktionen verwendet wird. Darüber hinaus verfügt es über keine Auszahlungsfunktion. Um in Zukunft Geld abheben zu können, müssen Benutzer darauf vertrauen, dass die Entwickler die Auszahlungsfunktion irgendwann in der Zukunft implementieren werden, behauptete Watts.
Darüber hinaus behauptete Watts, dass Blast eine „enableTransition“-Funktion enthält, mit der jeder Smart Contract als „mainnetBridge“ festgelegt werden kann, was bedeutet, dass ein Angreifer das gesamte Geld des Benutzers stehlen könnte, ohne den Vertrag aktualisieren zu müssen.
Trotz dieser Angriffsmethoden glaubte Watts nicht, dass Blast seine Gelder verlieren würde. „Ich persönlich glaube nicht, dass die Gelder gestohlen werden, wenn ich raten müsste“, sagte er. Er warnte aber auch: „Ich persönlich halte es für riskant, Blast-Gelder in der jetzigen Form zu senden.“
In einem Thread vom eigenen X-Konto, dem Blast-Team angegeben dass sein Protokoll genauso sicher ist wie andere Layer-2s. „Sicherheit existiert in einem Spektrum (nichts ist 100 % sicher)“, behauptete das Team, „und sie ist in vielen Dimensionen nuanciert.“ Es mag den Anschein haben, dass ein nicht aktualisierbarer Vertrag sicherer ist als ein aktualisierbarer, aber diese Ansicht kann falsch sein. Wenn ein Vertrag nicht aktualisierbar ist, aber Fehler enthält, „sind Sie tot im Wasser“, hieß es im Thread.
Verwandt: Die Uniswap-DAO-Debatte zeigt, dass Entwickler immer noch Schwierigkeiten haben, Cross-Chain-Brücken zu sichern
Das Blast-Team behauptet, dass das Protokoll aus genau diesem Grund aktualisierbare Verträge verwendet. Die Schlüssel für das Safe-Konto befinden sich jedoch „in einem Kühllager, werden von einer unabhängigen Partei verwaltet und sind geografisch getrennt“. Nach Ansicht des Teams handelt es sich hierbei um ein „hochwirksames“ Mittel zum Schutz der Benutzergelder, weshalb „L2s Arbitrum und Optimism mögen“. [and] Polygon“ verwenden ebenfalls diese Methode.
Blast ist nicht das einzige Protokoll, das wegen seiner aktualisierbaren Verträge kritisiert wird. Im Januar argumentierte Summa-Gründer James Prestwich, dass die Stargate-Brücke das gleiche Problem habe. Im Dezember 2022 wurde das Ankr-Protokoll ausgenutzt, als sein Smart Contract aktualisiert wurde, um die Schaffung von 20 Billionen Ankr Reward Bearing Staked BNB (aBNBc) aus dem Nichts zu ermöglichen. Im Fall von Ankr wurde das Upgrade von einem ehemaligen Mitarbeiter durchgeführt, der sich in die Datenbank des Entwicklers gehackt hat, um an den Deployer-Schlüssel zu gelangen.