Blockchain analitik platformu DeBank’ın verilerine göre, Web3 protokolü Blast blokzinciri, piyasaya sürülmesinden bu yana geçen dört gün içinde 400 milyon doların üzerinde kilitli toplam değer (TVL) kazandı. Ancak 23 Kasım tarihli bir sosyal medya başlığında, Polygon Labs geliştirici ilişkileri mühendisi Jarrod Watts, yeni ağın merkezileşme nedeniyle önemli güvenlik riskleri oluşturduğunu iddia etti.
Blast ekibi eleştirilere kendi X (eski adıyla Twitter) hesabından yanıt verdi, ancak doğrudan Watts’ın söylemlerine atıfta bulunmadı. Blast kendi başlığında, ağın Optimism, Arbitrum ve Polygon gibi diğer katman 2’ler kadar merkeziyetsiz olduğunu iddia etti.
On multisig security.
Read this thread to understand the security model of Blast along with other L2s like Arbitrum, Optimism, and Polygon.
— Blast (@Blast_L2) November 24, 2023
Blast blokzinciri, resmi web sitesindeki tanıtımına göre, “ETH ve stablecoin’ler için yerel getiriye sahip tek Ethereum L2” olduğunu iddia ediyor. Web sitesi ayrıca, Blast’ın kullanıcılarının bakiyesinin “otomatik olarak birleştirilmesine” izin verdiğini ve kendisine gönderilen stablecoin’lerin MakerDAO’nun T-Bill protokolü aracılığıyla otomatik olarak birleştirilen bir stablecoin olan “USDB’ye” dönüştürüldüğünü belirtiyor. Blast ekibi protokolün nasıl çalıştığını açıklayan teknik belgeleri henüz yayınlamadı, ancak Ocak ayında airdrop gerçekleştiğinde bunların yayınlanacağını söylüyor.
Watts, Blast’ın “sadece 3/5 multisig” yapısına sahip olduğunu iddia ederek, Blast’ın kullanıcıların gördüğünden daha az güvenli veya merkeziyetsiz olabileceğini söyledi. Watts, bir saldırganın beş ekip üyesinden üçünün anahtarlarını ele geçirmesi halinde, sözleşmelere yatırılan tüm kripto varlığı çalabileceğini söyledi.
“Blast is just a 3/5 multisig…”
I spent the past few days diving into the source code to see if this statement is actually true.
Here’s everything I learned:
— Jarrod Watts (@jarrodWattsDev) November 23, 2023
Watts’a göre, Blast sözleşmeleri bir Safe (eski adıyla Gnosis Safe) çoklu imza cüzdan hesabı aracılığıyla yükseltilebilir. Hesap, herhangi bir işlemi yetkilendirmek için beş imzadan üçünü gerektirir. Ancak bu imzaları üreten özel anahtarlar ele geçirilirse, sözleşmeler saldırganın istediği herhangi bir kodu üretecek şekilde yükseltilebilir. Bu da bunu başaran bir saldırganın 400 milyon dolarlık TVL’nin tamamını kendi hesabına aktarabileceği anlamına geliyor.
Buna ek olarak Watts, geliştirme ekibinin iddiasına rağmen Blast’ın “bir katman 2 olmadığını” iddia etti. Bunun yerine, Blast’ın sadece “kullanıcılardan fon kabul ettiğini” ve “kullanıcıların fonlarını LIDO gibi protokollere yatırdığını” ve bu işlemleri gerçekleştirmek için gerçek bir köprü veya test ağı kullanılmadığını söyledi. Watts’a göre, Blast’ın para çekme işlevi de bulunmuyor. Watts, kullanıcıların para çekmek istediklerinde, geliştiricilerin ilerleyen zamanlarda para çekme işlevini uygulayacaklarına güvenmeleri gerektiğini iddia etti.
Ayrıca Watts, Blast’ın herhangi bir akıllı sözleşmeyi “mainnetBridge” olarak ayarlamak için kullanılabilecek bir “enableTransition” işlevi içerdiğini iddia etti; bu da bir saldırganın sözleşmeyi yükseltmeye gerek kalmadan kullanıcıların fonlarının tamamını çalabileceği anlamına geliyor.
Tüm bu negatif düşüncelerine rağmen Watts, Blast’ın fonlarını kaybedeceğine inanmadığını ifade etti. Watts, “Şahsen, tahmin etmem gerekirse, fonların çalınacağını sanmıyorum.” dedi. Ancak aynı zamanda, “Şahsen Blast fonlarını mevcut haliyle göndermenin riskli olduğunu düşünüyorum.” uyarısında da bulundu.
Blast ekibi, kendi X hesabından paylaştığı bir mesajda, protokolünün diğer katman-2’ler kadar güvenli olduğunu belirtti. Ekip, “Güvenlik bir spektrumda yer alır (hiçbir şey yüzde 100 güvenli değildir) ve birçok boyutu vardır” dedi. Proje ekibi, “Yükseltilemeyen bir sözleşmenin yükseltilebilen bir sözleşmeden daha güvenli olduğu düşünülebilir, ancak bu görüş yanlış olabilir. Eğer bir sözleşme yükseltilemezse ancak hatalar içeriyorsa, suda öldünüz demektir.” diyerek açıklamasını noktaladı.
İlgili: Uniswap DAO tartışması, geliştiricilerin zincirler arası köprüleri güvence altına almak için hala mücadele ettiğini gösteriyor
Blast ekibi protokolün tam da bu nedenle yükseltilebilir sözleşmeler kullandığını iddia ediyor. Bununla birlikte ekip, güvenli hesabın anahtarlarının soğuk depoda tutulduğunu ve bağımsız bir tarafça yönetildiğini belirtti. Anahtarlar, coğrafi olarak ayrılmış durumda. Ekip, bu yapıyı kullanıcı fonlarını korumanın oldukça etkili bir yolu olarak gösterdi. Arbitrum, Optimism ve Polygon gibi L2’ler de bu yöntemi kullanıyor.
Blast, yükseltilebilir sözleşmelere sahip olduğu için eleştirilen tek protokol değil. Ocak ayında Summa’nın kurucusu James Prestwich, Stargate köprüsünün de aynı soruna sahip olduğunu savunmuştu. Aralık 2022’de Ankr protokolü, akıllı sözleşmesi 20 trilyon Ankr Reward Bearing Staked BNB’nin (aBNBc) sıfırdan yaratılmasına izin verecek şekilde yükseltildiğinde istismar edildi. Ankr örneğinde, yükseltme işlemi, dağıtıcı anahtarını elde etmek için geliştiricinin veri tabanına giren eski bir çalışan tarafından gerçekleştirilmiştir.
