Blast, la nueva solución Ethereum Layer 2, tiene algunos problemas de seguridad, según un informe de investigación de la firma de ciberseguridad Resonance Security . Blast ha ganado rápidamente terreno en la industria de las criptomonedas. Promete puntos, lanzamientos aéreos, premios mayores, retornos de apuestas locales y reparto de ingresos del gas. Pero Resonance dice que Blast debería mejorar sus medidas de seguridad.
Desde su anuncio hasta su lanzamiento, Blast ha estado aceptando depósitos de ETH a través de un puente unidireccional. Esto permitió a los usuarios acumular rendimiento nativo y puntos de explosión, prometiendo a los primeros usuarios la entrada en un lanzamiento aéreo futuro.
A pesar de las críticas de importantes patrocinadores como Paradigm, esta estrategia ha aumentado la popularidad de Blast. Atrajo 600 millones de dólares en su primera semana, alcanzando más de mil millones de dólares en enero de 2024. Hasta la fecha, el valor total bloqueado (TVL) de Blast asciende a 3,160 millones de dólares, lo que lo convierte en el cuarto EVM L2 más grande.
Los usuarios pueden depositar ETH en Blast a cambio de tokens líquidos L2. El ETH depositado se apuesta en grupos de participación de Lido a través de contratos inteligentes Blast, obteniendo una tasa de interés del 4%.
En cuanto a las monedas estables, los usuarios las conectan a Blast para obtener USDB, la moneda estable oficial de Blast, que genera rendimiento a través del protocolo T-bill de MakerDAO con una tasa de interés del 5%. El USDB se puede canjear por DAI cuando se revierte a Ethereum.
Blast Gold se otorga a las dApps creadas en la cadena, recompensándolas por usar las funciones nativas de Blast, y se distribuye manualmente cada 2 o 3 semanas o durante eventos de premio mayor.
La explosión hereda problemas de seguridad
Según Resonance, la dependencia de Blast de protocolos DeFi de terceros como Lido y MakerDAO introduce riesgos potenciales. Si algún grupo o protocolo que genera rendimiento en estas plataformas se ve comprometido, los tokens asociados de los usuarios de Blast también se verán afectados. Esta dependencia de la seguridad de Lido y MakerDAO para proteger los fondos de los usuarios podría generar problemas financieros para los usuarios de Blast.
Anteriormente, HTX Square señaló que el contrato LaunchBridge de Blast (0x5f…a47d) no es un puente acumulativo sino un "contrato de custodia protegido por una dirección multifirma 3/5". Jarrod Watts de Polygon Labs también expresó su preocupación por estas direcciones multifirma, diciendo que son de nueva creación y se desconocen sus propietarios.
CryptoHopper cuestionó la afirmación de Blast de ser un L2 y afirmó: "Blast no tiene la evidencia de validez necesaria para un estado raíz L2 y no tiene un mecanismo antifraude". Resonance cree que el Resumen de riesgos de Blast respalda aún más estas preocupaciones.
Resonance también revisó los protocolos de seguridad de Lido y MakerDAO. MakerDAO no ha publicado una auditoría de seguridad de sus contratos inteligentes en tres años, y algunas auditorías se remontan a cinco años atrás.
Esto es preocupante porque los contratos inteligentes pueden ser susceptibles a vulnerabilidades recién descubiertas y deben verificarse periódicamente. Resonance dice que una consulta rápida de CVE de contratos inteligentes en la base de datos nacional de vulnerabilidad del NIST arrojó 584 registros publicados entre 2018 y 2024. Si bien es posible que contratos específicos no sean susceptibles a todos estos CVE, es probable que lo sean a algunos.
Mantener la seguridad de los contratos inteligentes requiere un enfoque multifacético, que incluya auditorías de seguridad periódicas y previas a la implementación, y programas de recompensas por errores.
"La comunicación periódica y las pruebas de seguridad conjuntas también pueden ayudar a validar estos estándares y mejorarlos con el tiempo".
Seguridad de resonancia
Los proyectos más pequeños deben ser meticulosos al elegir proveedores externos. La evaluación proactiva de opciones de terceros para estándares de seguridad rigurosos puede ahorrarle a los proyectos muchos dolores de cabeza a largo plazo. Si las opciones de terceros no cumplen con los estándares requeridos por un proyecto, el desarrollo de soluciones internas puede ser una alternativa más segura. Siempre y cuando el proyecto cuente con los recursos para ello.
Esto permite un control total sobre la seguridad. La creación de asociaciones o alianzas con otros proyectos puede ayudar a respaldar colectivamente mejores prácticas de seguridad con proveedores externos más grandes. Un frente unido tendrá más influencia que los esfuerzos individuales, afirmó Resonance.
Jai Hamid