デバンクのデータによると、Web3プロトコルのブラスト(Blast)ネットワークは、立ち上げからわずか4日間で総額4億ドルを超えるロックされた総価値(TVL)を達成した。しかし11月23日のソーシャルメディアでの投稿によれば、ポリゴンラボの開発者であるジャロッド・ワッツ氏は、新しいネットワークが中央集権化により重大なセキュリティリスクを抱えていると主張した。

ブラストチームは、自身のX(旧ツイッター)アカウントから批判に応じたが、ワッツ氏のスレッドには直接言及せず、ブラストは他のレイヤー2と同じく分散化されていると主張した。「

公式ウェブサイトのマーケティング資料によると、ブラストネットワークは「ETHとステーブルコインにネイティブな利回りを提供する唯一のイーサリアムL2」と主張している。また、ユーザーの残高が「自動複利化」され、送られたステーブルコインは「USDB」に変換されるという。USDBはメーカーダオのT-Billプロトコルを通じて自動複利化されるステーブルコインだ。ブラストチームはプロトコルの動作についての技術文書を公開していないが、1月のエアドロップ時に公開されるとしている。ブラストは11月20日にリリースされ、その後4日間でTVLがゼロから4億ドルを超えた。

ワッツ氏の元の投稿によると、ブラストは「3/5マルチシグ」に過ぎず、セキュリティや分散化がユーザーが認識しているよりも低い可能性があると主張している。攻撃者が5人のチームメンバーのうち3人の鍵をコントロールすれば、その契約書に預けられた暗号をすべて盗むことができる、と彼は警告する。

ワッツ氏によると、ブラストの契約はセーフ(旧グノーシスセーフ)マルチシグウォレットアカウントを通じてアップグレード可能だ。5つの署名のうち3つがあればどのような取引も承認できる。しかし、これらの署名を生成する秘密鍵が侵害された場合、コントラクトは攻撃者が望む任意のコードを生成するようにアップグレードされる。つまり、このような攻撃を成功させれば、攻撃者はTVL全額を自分のアカウントに移動できる。

さらに、ワッツ氏はブラストが「レイヤー2ではない」と主張し、開発チームがそう主張しているにもかかわらず、実際にはブラストは「ユーザーから資金を受け入れ」、「LIDOのようなプロトコルにユーザーの資金をステークする」だけで、実際のブリッジやテストネットを使用してこれらの取引を行っていない。さらに、引き出し機能がなく、将来引き出すためには、開発者がいずれ引き出し機能を実装することをユーザーが信頼する必要があるとした。

さらに、ワッツ氏はブラストには「enableTransition」という関数が含まれており、これを使用して任意のスマートコントラクトを「mainnetBridge」として設定できるため、攻撃者はコントラクトをアップグレードする必要なくユーザーの資金を全て盗むことができると主張した。

これらの攻撃ベクトルにもかかわらず、ワッツ氏はブラストが資金を失うとは思わないとした。「個人的には、資金が盗まれるとは思わないが、現状のブラストに資金を送るのはリスクがあると個人的には考えている」と警告した。

Xアカウントからのスレッドで、ブラストチームは自身のプロトコルが他のレイヤー2と同じく安全だと述べた。「セキュリティはさまざまな範囲に存在し(100%安全なものはない)、多くの次元がある」とチームは語った。アップグレード不可能なコントラクトがアップグレード可能なものよりも安全に見えるかもしれないが、その見方は誤っている場合がある。コントラクトがアップグレード不可能でもバグを含んでいれば、「行き詰まる」とスレッドで述べた。

ブラストチームはこの理由からアップグレード可能なコントラクトを使用していると主張している。しかし、セーフアカウントのキーは「コールドストレージに保管され、独立した第三者によって管理され、地理的に分散されている」とチームは見ており、これはユーザー資金を守る「非常に効果的な」手段であり、「アービトラム、オプティミズム、ポリゴンなどのL2がこの方法を使用している理由だ」としている。

アップグレード可能なコントラクトを持つプロトコルが批判されたのはブラストだけではない。1月にはSumma創設者のジェームズ・プレストウィッチ氏がスターゲートブリッジに同じ問題があると主張した。2022年12月には、Ankrプロトコルがスマートコントラクトをアップグレードしたが、それが悪用された。Ankrの場合、アップグレードは元従業員によって実行され、開発者のデータベースにハッキングしてデプロイヤーキーを入手した。