Theo dữ liệu từ nền tảng phân tích blockchain DeBank, giao thức Web3 Blast Network đã kiếm được hơn 400 triệu USD tổng giá trị bị khóa (TVL) trong 4 ngày kể từ khi ra mắt. Tuy nhiên, trong một cuộc thảo luận trên mạng xã hội ngày 23 tháng 11, kỹ sư của Polygon Labs, Jarrod Watts, đã tuyên bố rằng mạng mới gây ra rủi ro bảo mật đáng kể do tính tập trung cao.
Nhóm Blast đã phản hồi những lời chỉ trích bằng bài đăng trên tài khoản X (trước đây là Twitter) của chính họ, nhưng không đề cập trực tiếp đến chủ đề của Watts. Trong chủ đề riêng của mình, Blast tuyên bố rằng nó cũng phi tập trung như các mạng lớp 2 khác, bao gồm Optimism, Arbitrum và Polygon.
Blast Network tuyên bố nó là “Ethereum L2 duy nhất có lợi nhuận gốc cho ETH và stablecoin,” theo tài liệu tiếp thị từ trang web chính thức của mình. Trang web cũng tuyên bố rằng Blast cho phép số dư của người dùng được “tự động gộp” và các stablecoin gửi tới nó sẽ được chuyển đổi thành “USDB”, một loại stablecoin tự động gộp thông qua giao thức T-Bill của MakerDAO. Nhóm Blast chưa phát hành các tài liệu kỹ thuật giải thích cách thức hoạt động của giao thức, nhưng họ cho biết chúng sẽ được xuất bản khi đợt airdrop diễn ra vào tháng 1.
Bài đăng ban đầu của Watts cho biết Blast có thể kém an toàn hoặc ít phi tập trung hơn những gì người dùng nhận ra, đồng thời tuyên bố rằng Blast “chỉ là một nền tảng đa chữ ký 3/5”. Anh cáo buộc rằng nếu kẻ tấn công giành quyền kiểm soát ba trong số năm khóa của thành viên nhóm, họ có thể đánh cắp tất cả tiền điện tử được gửi vào hợp đồng của mình.
Theo Watts, các hợp đồng Blast có thể được nâng cấp thông qua tài khoản ví đa chữ ký Safe (trước đây là Gnosis Safe). Tài khoản yêu cầu ba trong số năm chữ ký để ủy quyền cho bất kỳ giao dịch nào. Nhưng nếu khóa riêng tạo ra những chữ ký này bị xâm phạm, hợp đồng có thể được nâng cấp để tạo ra bất kỳ mã nào mà kẻ tấn công mong muốn. Điều này có nghĩa là kẻ tấn công thực hiện được điều này có thể chuyển toàn bộ TVL trị giá 400 triệu USD vào tài khoản của chính chúng.
Ngoài ra, Watts còn tuyên bố rằng Blast “không phải là lớp 2”, mặc dù nhóm phát triển của nó đã tuyên bố như vậy. Thay vào đó, anh cho biết Blast chỉ đơn giản là “nhận tiền từ người dùng” và “đặt tiền của người dùng vào các giao thức như LIDO” mà không cần sử dụng cầu nối hoặc mạng thử nghiệm thực tế để thực hiện các giao dịch này. Hơn nữa, nó không có chức năng rút tiền. Để có thể rút tiền, người dùng phải tin tưởng rằng các nhà phát triển sẽ triển khai chức năng này vào một thời điểm nào đó trong tương lai.
Ngoài ra, Watts còn tuyên bố rằng Blast chứa chức năng “enableTransition” có thể được sử dụng để đặt bất kỳ hợp đồng thông minh nào làm “mainnetBridge”, có nghĩa là kẻ tấn công có thể đánh cắp toàn bộ tiền của người dùng mà không cần nâng cấp hợp đồng.
Bất chấp những vectơ tấn công này, Watts cũng khẳng định mình không tin Blast sẽ mất tiền. “Cá nhân tôi, nếu phải đoán, tôi không nghĩ số tiền sẽ bị đánh cắp,” anh nói, nhưng cũng cảnh báo rằng “Cá nhân tôi nghĩ rằng việc gửi tiền tới Blast trong tình trạng hiện tại là rất rủi ro”.
Trong một bài đăng trên X của chính mình, nhóm Blast đã tuyên bố rằng giao thức của họ cũng an toàn như các mạng lớp 2 khác. Nhóm khẳng định: “Bảo mật tồn tại trên một phạm vi rộng (không có gì an toàn 100%) và nó có nhiều sắc thái”. Có vẻ như hợp đồng không thể nâng cấp sẽ an toàn hơn hợp đồng có thể nâng cấp, nhưng quan điểm này có thể bị nhầm lẫn. Nếu một hợp đồng không thể nâng cấp được nhưng có lỗi, thì “bạn đã chết trong nước”.
Nhóm Blast tuyên bố giao thức sử dụng các hợp đồng có thể nâng cấp vì lý do này. Tuy nhiên, chìa khóa của tài khoản Safe là “trong kho lạnh, được quản lý bởi một bên độc lập và tách biệt về mặt địa lý”. Theo quan điểm của nhóm, đây là một phương tiện “hiệu quả cao” để bảo vệ tiền của người dùng, đó là lý do “tại sao các L2 như Arbitrum, Optimism [và] Polygon” cũng sử dụng phương pháp này.
Blast không phải là giao thức duy nhất bị chỉ trích vì có hợp đồng có thể nâng cấp. Vào tháng 1, người sáng lập Summa, James Prestwich, đã lập luận rằng cây cầu Stargate cũng gặp vấn đề tương tự. Vào tháng 12 năm 2022, giao thức Ankr đã bị khai thác khi hợp đồng thông minh của nó được nâng cấp để cho phép tạo ra 20 nghìn tỷ BNB (aBNBc). Trong trường hợp của Ankr, việc nâng cấp được thực hiện bởi một nhân viên cũ đã đột nhập vào cơ sở dữ liệu của nhà phát triển để lấy khóa triển khai.
Tham gia cộng đồng của chúng tôi để cùng bàn luận và cập nhật những thông tin Crypto mới nhất:
- Cryptory Insights: https://t.me/CryptoryInsights
- Cryptory Global Community: https://t.me/CryptoryCommunity
- Vietnamese Telegram channel: https://t.me/cryptory_vncomm
- Facebook: https://www.facebook.com/CryptoryNetwork
- Twitter: https://twitter.com/CryptoryNetwork