Blast, a nova solução Ethereum Layer 2, apresenta algumas preocupações de segurança, de acordo com um relatório de pesquisa da empresa de segurança cibernética Resonance Security. Blast rapidamente ganhou força na indústria de criptografia. Ele promete pontos, lançamentos aéreos, jackpots, rendimentos de apostas nativas e divisão de receitas de gás. Mas a Resonance diz que a Blast deveria melhorar suas medidas de segurança.
Desde o seu anúncio até o seu lançamento, o Blast aceitou depósitos de ETH por meio de uma ponte unidirecional. Isso permitiu que os usuários acumulassem rendimento nativo e pontos de explosão, prometendo aos primeiros usuários a entrada em um futuro lançamento aéreo.
Fonte: L2Beat
Apesar das críticas de grandes financiadores como a Paradigm, esta estratégia aumentou a popularidade da Blast. Atraiu US$ 600 milhões em sua primeira semana, atingindo mais de US$ 1 bilhão em janeiro de 2024. A partir de agora, o valor total bloqueado (TVL) do Blast é de US$ 3,16 bilhões, tornando-o o quarto maior EVM L2.
Os usuários podem depositar ETH no Blast em troca de tokens L2 líquidos. O ETH depositado é apostado em pools de apostas do Lido por meio de contratos inteligentes Blast, ganhando uma taxa de juros de 4%.
Para stablecoins, os usuários os conectam ao Blast for USDB, o stablecoin oficial do Blast, que gera rendimento por meio do protocolo T-bill da MakerDAO com uma taxa de juros de 5%. O USDB pode ser resgatado por DAI quando conectado de volta ao Ethereum.
O Blast Gold é concedido aos dApps construídos na cadeia, recompensando-os pelo uso de recursos nativos do Blast, e é distribuído manualmente a cada 2-3 semanas ou durante eventos de jackpot.
Blast herda preocupações de segurança
De acordo com a Resonance, a dependência da Blast de protocolos DeFi de terceiros, como Lido e MakerDAO, apresenta riscos potenciais. Se algum pool ou protocolo gerador de rendimento nessas plataformas for comprometido, os tokens associados dos usuários do Blast também serão afetados. Essa dependência da segurança do Lido e do MakerDAO para proteger os fundos dos usuários pode levar a problemas financeiros para os usuários do Blast.
Como funciona o contrato inteligente da Blast. Fonte: L2Beat
Anteriormente, a HTX Square apontou que o contrato LaunchBridge da Blast (0x5f…a47d) não é uma ponte rollup, mas um “contrato de custódia protegido por um endereço multisig 3/5”. Jarrod Watts, da Polygon Labs, também levantou preocupações sobre esses endereços multisig, dizendo que eles foram criados recentemente e seus proprietários são desconhecidos.
Fonte: Jarrod Watts
O CryptoHopper questionou a afirmação do Blast de ser um L2, afirmando: “O Blast não possui as provas de validade necessárias para uma raiz de estado L2 e não possui um mecanismo antifraude em vigor”. A Resonance acredita que o Resumo de Risco da Blast corrobora ainda mais essas preocupações.
Fonte: L2Beat
A Resonance também analisou os protocolos de segurança do Lido e MakerDAO. MakerDAO não publica uma auditoria de segurança de seus contratos inteligentes há três anos, com algumas auditorias datando de cinco anos atrás.
Isto é preocupante porque os contratos inteligentes podem ser suscetíveis a vulnerabilidades recentemente descobertas e devem ser auditados periodicamente. A Resonance afirma que uma consulta rápida para CVEs de contratos inteligentes no NIST National Vulnerability Database retornou 584 registros publicados entre 2018 e 2024. Embora contratos específicos possam não ser suscetíveis a todos esses CVEs, eles provavelmente são suscetíveis a alguns.
Manter a segurança dos contratos inteligentes requer uma abordagem multifacetada, incluindo pré-implantação e auditorias de segurança periódicas e programas de recompensa de bugs.
“A comunicação regular e os testes conjuntos de segurança também podem ajudar a validar esses padrões e melhorá-los ao longo do tempo.”
Segurança de ressonância
Projetos menores precisam ser meticulosos ao escolher seus fornecedores terceirizados. A verificação proativa de opções de terceiros para padrões de segurança rígidos pode evitar muitas dores de cabeça aos projetos no longo prazo. Se as opções de terceiros não atenderem aos padrões exigidos pelo projeto, o desenvolvimento de soluções internas poderá ser uma alternativa mais segura. Desde que o projeto tenha recursos para isso.
Isso permite controle total sobre a segurança. A formação de parcerias ou alianças com outros projetos pode ajudar a defender coletivamente melhores práticas de segurança com fornecedores terceirizados maiores. Uma frente unida terá mais influência do que esforços individuais, disse Resonance.
Jai Hamid