Blast Blokzinciri 400 Milyon Dolar Kilitli Varlığa Erişti

Blast ekibi, projenin merkezi hale getirildiği yönündeki iddialara karşı çoklu imza yükseltme işlevine yönelik yanıt verdi.

Blockchain analitik platformu DeBank'ın istatistiklerine göre, Web3 protokolü olan Blast blok zinciri, piyasaya sürülmesinden bu yana sadece dört gün içinde 400 milyon doların üzerinde kilitli toplam değer (TVL) elde etti. Ancak, 23 Kasım tarihli bir sosyal medya başlığında, Polygon Labs geliştirici ilişkileri mühendisi Jarrod Watts, yeni ağın merkezileşme nedeniyle önemli güvenlik riskleri oluşturduğunu iddia etti.

Blast ekibi, eleştirilere kendi X (eski adıyla Twitter) hesaplarından yanıt verdi, ancak doğrudan Watts'ın ifadelerine atıfta bulunmadı. Blast, kendi açıklamalarında, ağın Optimism, Arbitrum ve Polygon gibi diğer katman 2'ler kadar merkeziyetsiz olduğunu savundu.

On multisig security.

Read this thread to understand the security model of Blast along with other L2s like Arbitrum, Optimism, and Polygon.

— Blast (@Blast_L2) November 24, 2023

Blast blok zinciri, resmi web sitesinde belirtildiğine göre, "ETH ve stablecoin'ler için yerel getiriye sahip tek Ethereum L2" olduğunu iddia ediyor. Web sitesi ayrıca, Blast'ın kullanıcılarının bakiyelerinin "otomatik olarak birleştirilmesine" izin verdiğini ve kendisine gönderilen stablecoin'lerin MakerDAO'nun T-Bill protokolü aracılığıyla otomatik olarak birleştirilen bir stablecoin olan "USDB'ye" dönüştürüldüğünü belirtiyor. Blast ekibi, protokolün nasıl çalıştığını açıklayan teknik belgeleri henüz yayınlamamış olsa da, Ocak ayında gerçekleşecek airdrop sırasında bunların yayınlanacağını belirtiyor.

Watts, Blast'ın "sadece 3/5 multisig" yapısına sahip olduğunu iddia ederek, Blast'ın kullanıcıların gördüğünden daha az güvenli veya merkezi olabileceğini söyledi. Watts, bir saldırganın beş ekip üyesinden üçünün anahtarlarını ele geçirmesi durumunda, sözleşmelere yatırılan tüm kripto varlığını çalabileceğini ifade etti.

"Blast is just a 3/5 multisig..."

I spent the past few days diving into the source code to see if this statement is actually true.

Here's everything I learned:

— Jarrod Watts (@jarrodWattsDev) November 23, 2023

Watts'a göre, Blast sözleşmeleri bir Safe (eski adıyla Gnosis Safe) çoklu imza cüzdan hesabı aracılığıyla yükseltilebilir. Hesap, herhangi bir işlemi yetkilendirmek için beş imzadan üçünü gerektirir. Ancak bu imzaları üreten özel anahtarlar ele geçirilirse, sözleşmeler saldırganın istediği herhangi bir kodu üretecek şekilde yükseltilebilir. Bu da bunu başaran bir saldırganın 400 milyon dolarlık TVL'nin tamamını kendi hesabına aktarabileceği anlamına geliyor.

Buna ek olarak Watts, geliştirme ekibinin iddiasına rağmen Blast'ın "bir katman 2 olmadığını" iddia etti. Bunun yerine, Blast'ın sadece "kullanıcılardan fon kabul ettiğini" ve "kullanıcıların fonlarını LIDO gibi protokollere yatırdığını" ve bu işlemleri gerçekleştirmek için gerçek bir köprü veya test ağı kullanılmadığını söyledi. Watts'a göre, Blast'ın para çekme işlevi de bulunmuyor. Watts, kullanıcıların para çekmek istediklerinde, geliştiricilerin ilerleyen zamanlarda para çekme işlevini uygulayacaklarına güvenmeleri gerektiğini iddia etti.

Ayrıca Watts, Blast'ın herhangi bir akıllı sözleşmeyi "mainnetBridge" olarak ayarlamak için kullanılabilecek bir "enableTransition" işlevi içerdiğini iddia etti; bu da bir saldırganın sözleşmeyi yükseltmeye gerek kalmadan kullanıcıların fonlarının tamamını çalabileceği anlamına geliyor.

Tüm bu negatif düşüncelerine rağmen Watts, Blast'ın fonlarını kaybedeceğine inanmadığını ifade etti. Watts, "Şahsen, tahmin etmem gerekirse, fonların çalınacağını sanmıyorum." dedi. Ancak aynı zamanda, "Şahsen Blast fonlarını mevcut haliyle göndermenin riskli olduğunu düşünüyorum." uyarısında da bulundu.

Blast ekibi, kendi X hesabından paylaştığı bir mesajda, protokolünün diğer katman-2'ler kadar güvenli olduğunu belirtti. Ekip, "Güvenlik bir spektrumda yer alır (hiçbir şey yüzde 100 güvenli değildir) ve birçok boyutu vardır" dedi. Proje ekibi, "Yükseltilemeyen bir sözleşmenin yükseltilebilen bir sözleşmeden daha güvenli olduğu düşünülebilir, ancak bu görüş yanlış olabilir. Eğer bir sözleşme yükseltilemezse ancak hatalar içeriyorsa, suda öldünüz demektir." diyerek açıklamasını noktaladı.

Blast ekibi protokolün tam da bu nedenle yükseltilebilir sözleşmeler kullandığını iddia ediyor. Bununla birlikte ekip, güvenli hesabın anahtarlarının soğuk depoda tutulduğunu ve bağımsız bir tarafça yönetildiğini belirtti. Anahtarlar, coğrafi olarak ayrılmış durumda. Ekip, bu yapıyı kullanıcı fonlarını korumanın oldukça etkili bir yolu olarak gösterdi. Arbitrum, Optimism ve Polygon gibi L2'ler de bu yöntemi kullanıyor.

Blast, yükseltilebilir sözleşmelere sahip olduğu için eleştirilen tek protokol değil. Ocak ayında Summa'nın kurucusu James Prestwich, Stargate köprüsünün de aynı soruna sahip olduğunu savunmuştu. Aralık 2022'de Ankr protokolü, akıllı sözleşmesi 20 trilyon Ankr Reward Bearing Staked BNB'nin (aBNBc) sıfırdan yaratılmasına izin verecek şekilde yükseltildiğinde istismar edildi. Ankr örneğinde, yükseltme işlemi, dağıtıcı anahtarını elde etmek için geliştirici veri tabanına giren eski bir çalışan tarafından gerçekleştirilmiştir.

Kripto para piyasalarında yaşanan gelişmeleri ve en son haberleri Kriptospot.com ile anlık takip edebilirsiniz.