[ad_1]
Secondo i dati della piattaforma di analisi blockchain DeBank, la rete Blast del protocollo Web3 ha guadagnato oltre 400 milioni di dollari in valore totale bloccato (TVL) nei quattro giorni successivi al suo lancio. Ma in un thread sui social media del 23 novembre, Jarrod Watts, ingegnere delle relazioni con gli sviluppatori di Polygon Labs, ha affermato che la nuova rete pone notevoli rischi per la sicurezza a causa della centralizzazione.
Il team di Blast ha risposto alle critiche dal proprio account X (ex Twitter), ma senza fare riferimento direttamente al thread di Watts. Nel proprio thread, Blast ha affermato che la rete è decentralizzata come altri layer 2, tra cui Optimism, Arbitrum e Polygon.
Sulla sicurezza multifirma.
Leggi questo thread per comprendere il modello di sicurezza di Blast insieme ad altri L2 come Arbitrum, Optimism e Polygon.
— Esplosione (@Blast_L2) 24 novembre 2023
Secondo il materiale di marketing del suo sito ufficiale, la rete Blast afferma di essere “l’unico Ethereum L2 con rendimento nativo per ETH e stablecoin”. Il sito web afferma inoltre che Blast consente al saldo di un utente di essere “auto-aggregato” e che le stablecoin inviate ad esso vengono convertite in “USDB”, una stablecoin che si auto-aggrega attraverso il protocollo T-Bill di MakerDAO. Il team Blast non ha rilasciato documenti tecnici che spieghino come funziona il protocollo, ma afferma che verranno pubblicati quando avverrà l’airdrop a gennaio.
Il post originale di Watts affermava che Blast potrebbe essere meno sicuro o decentralizzato di quanto gli utenti credano, sostenendo quel Blast “è solo un multisig 3/5”. Se un utente malintenzionato prende il controllo delle chiavi di tre membri del team su cinque, può rubare tutte le criptovalute depositate nei suoi contratti, ha affermato.
“Blast è solo un multisig 3/5…”
Ho passato gli ultimi giorni a tuffarmi nel codice sorgente per vedere se questa affermazione è effettivamente vera.
Ecco tutto quello che ho imparato:
— Jarrod Watts (@jarrodWattsDev) 23 novembre 2023
Secondo Watts, i contratti Blast possono essere aggiornati tramite un account portafoglio multifirma Safe (ex Gnosis Safe). Il conto richiede tre firme su cinque per autorizzare qualsiasi transazione. Ma se le chiavi private che producono queste firme vengono compromesse, i contratti possono essere aggiornati per produrre qualsiasi codice desideri l’aggressore. Ciò significa che un utente malintenzionato che riesce a farlo potrebbe trasferire l’intero TVL da 400 milioni di dollari sul proprio conto.
Inoltre, Watts ha affermato che Blast “non è un layer 2”, nonostante il suo team di sviluppo lo affermi. Invece, ha detto che Blast semplicemente “accetta fondi dagli utenti” e “impegna i fondi degli utenti in protocolli come LIDO” senza che venga utilizzato alcun bridge o testnet effettivo per eseguire queste transazioni. Inoltre, non ha alcuna funzione di prelievo. Per poter prelevare in futuro, gli utenti devono avere fiducia che gli sviluppatori implementeranno la funzione di prelievo in futuro, ha affermato Watts.
Inoltre, Watts ha affermato che Blast contiene una funzione “enableTransition” che può essere utilizzata per impostare qualsiasi contratto intelligente come “mainnetBridge”, il che significa che un utente malintenzionato potrebbe rubare la totalità dei fondi degli utenti senza dover aggiornare il contratto.
Nonostante questi vettori di attacco, Watts affermò di non credere che Blast avrebbe perso i suoi fondi. “Personalmente, se dovessi indovinare, non credo che i fondi verranno rubati”, ha affermato. Ma ha anche avvertito che “personalmente penso che sia rischioso inviare fondi Blast nello stato attuale”.
In un thread dal proprio account X, il team Blast dichiarato che il suo protocollo è sicuro quanto gli altri livelli 2. “La sicurezza esiste su uno spettro (niente è sicuro al 100%)”, ha affermato il team, “ed è sfumata in molte dimensioni”. Potrebbe sembrare che un contratto non aggiornabile sia più sicuro di uno aggiornabile, ma questa visione può essere errata. Se un contratto non è aggiornabile ma contiene bug, “sei morto nell’acqua”, afferma il thread.
Imparentato: Il dibattito su Uniswap DAO mostra che gli sviluppatori hanno ancora difficoltà a proteggere i ponti cross-chain
Il team Blast sostiene che il protocollo utilizza contratti aggiornabili proprio per questo motivo. Tuttavia, le chiavi del conto Safe sono “in celle frigorifere, gestite da un soggetto indipendente e geograficamente separate”. Secondo il team, questo è un mezzo “altamente efficace” per salvaguardare i fondi degli utenti, che è “perché L2 come Arbitrum, Optimism [and] Anche Polygon” utilizza questo metodo.
Blast non è l’unico protocollo che è stato criticato per avere contratti aggiornabili. A gennaio, il fondatore di Summa, James Prestwich, sostenne che il ponte Stargate aveva lo stesso problema. Nel dicembre 2022, il protocollo Ankr è stato sfruttato quando il suo contratto intelligente è stato aggiornato per consentire la creazione dal nulla di 20 trilioni di Ankr Reward Bearing Staked BNB (aBNBc). Nel caso di Ankr, l’aggiornamento è stato eseguito da un ex dipendente che ha violato il database dello sviluppatore per ottenere la sua chiave di distribuzione.
[ad_2]
Source link
