Blast, la nueva solución Ethereum Layer 2, tiene algunos problemas de seguridad, según un informe de investigación de la empresa de ciberseguridad Resonance Security. Blast ha ganado rápidamente fuerza en la industria de la criptografía. Promete puntos, lanzamientos aéreos, premios mayores, rendimientos de apuestas locales y reparto de ingresos del gas. Pero Resonance dice que Blast debería mejorar sus medidas de seguridad.
Desde su anuncio hasta su lanzamiento, Blast aceptó depósitos de ETH a través de un puente unidireccional. Esto permitió a los usuarios acumular rendimiento nativo y Blast Points, prometiendo a los primeros usuarios la entrada en un futuro lanzamiento aéreo.
Fuente: L2Beat
A pesar de las críticas de importantes patrocinadores financieros como Paradigm, esta estrategia impulsó la popularidad de Blast. Atrajo 600 millones de dólares en su primera semana, alcanzando más de mil millones de dólares en enero de 2024. A partir de ahora, el valor total bloqueado (TVL) de Blast asciende a 3,16 mil millones de dólares, lo que lo convierte en el cuarto EVM L2 más grande.
Los usuarios pueden depositar ETH en Blast a cambio de tokens líquidos L2. El ETH depositado se apuesta en grupos de participación de Lido a través de contratos inteligentes Blast, obteniendo una tasa de interés del 4%.
Para las monedas estables, los usuarios las conectan a Blast para obtener USDB, la moneda estable oficial de Blast, que genera rendimiento a través del protocolo de letras del Tesoro de MakerDAO con una tasa de interés del 5%. USDB se puede canjear por DAI cuando se conecta a Ethereum.
Blast Gold se otorga a las dApps creadas en la cadena, recompensándolas por usar funciones nativas de Blast, y se distribuye manualmente cada 2 o 3 semanas o durante eventos de premio mayor.
Blast hereda preocupaciones de seguridad
Según Resonance, la dependencia de Blast de protocolos DeFi de terceros como Lido y MakerDAO introduce riesgos potenciales. Si algún grupo o protocolo generador de rendimiento en estas plataformas se ve comprometido, los tokens asociados de los usuarios de Blast también se verán afectados. Esta dependencia de la seguridad de Lido y MakerDAO para proteger los fondos de los usuarios podría generar problemas financieros para los usuarios de Blast.
Cómo funciona el contrato inteligente de Blast. Fuente: L2Beat
Anteriormente, HTX Square señaló que el contrato LaunchBridge de Blast (0x5f…a47d) no es un puente acumulativo sino un “contrato de custodia protegido por una dirección multifirma 3/5”. Jarrod Watts de Polygon Labs también expresó su preocupación por estas direcciones multifirma, diciendo que son de nueva creación y se desconocen sus propietarios.
Fuente: Jarrod Watts
CryptoHopper cuestionó la afirmación de Blast de ser un L2 y afirmó: "Blast carece de las pruebas de validez necesarias para un estado raíz L2 y no cuenta con un mecanismo antifraude". Resonance cree que el Resumen de riesgos de Blast corrobora aún más estas preocupaciones.
Fuente: L2Beat
Resonance también examinó los protocolos de seguridad de Lido y MakerDAO. MakerDAO no ha publicado una auditoría de seguridad de sus contratos inteligentes en tres años, y algunas auditorías se remontan a cinco años atrás.
Esto es preocupante porque los contratos inteligentes pueden ser susceptibles a vulnerabilidades recién descubiertas y deben ser auditados periódicamente. Resonance afirma que una consulta rápida de CVE de contratos inteligentes en la base de datos nacional de vulnerabilidades del NIST arrojó 584 registros publicados entre 2018 y 2024. Si bien es posible que contratos específicos no sean susceptibles a todos estos CVE, es probable que lo sean a algunos.
Mantener la seguridad de los contratos inteligentes requiere un enfoque multifacético, que incluya auditorías de seguridad periódicas y previas a la implementación, y programas de recompensas por errores.
"La comunicación periódica y las pruebas de seguridad conjuntas también pueden ayudar a validar estos estándares y mejorarlos con el tiempo".
Seguridad de resonancia
Los proyectos más pequeños deben ser meticulosos al elegir a sus proveedores externos. Examinar proactivamente las opciones de terceros para cumplir con estrictos estándares de seguridad puede ahorrarle a los proyectos muchos dolores de cabeza a largo plazo. Si las opciones de terceros no cumplen con los estándares requeridos por un proyecto, el desarrollo de soluciones internas podría ser una alternativa más segura. Siempre y cuando el proyecto cuente con los recursos para ello.
Esto permite un control total sobre la seguridad. Formar asociaciones o alianzas con otros proyectos puede ayudar a abogar colectivamente por mejores prácticas de seguridad con proveedores externos más grandes. Un frente unido tendrá más influencia que los esfuerzos individuales, afirmó Resonance.
Jai Hamid
