La red Blast, un protocolo Web3, ha alcanzado más de USD 400 millones en valor full bloqueado (TVL) en los cuatro días desde su lanzamiento, según datos de la plataforma de análisis blockchain DeBank. Sin embargo, en un hilo en redes sociales del 23 de noviembre, Jarrod Watts, ingeniero de relaciones con desarrolladores de Polygon Labs, afirmó que la nueva pink presenta riesgos de seguridad significativos debido a la centralización.
El equipo de Blast respondió a las críticas desde su propia cuenta de X (anteriormente Twitter), pero sin hacer referencia directa al hilo de Watts. En su propio hilo, Blast afirmó que la red es tan descentralizada como otras capas 2, incluyendo Optimism, Arbitrum y Polygon.
Sobre la seguridad de multisig.
Lee este hilo para entender el modelo de seguridad de Blast junto con otras L2s como Arbitrum, Optimism y Polygon.
— Blast (@Blast_L2) 24 de noviembre de 2023
Blast afirma ser «la única capa 2 de Ethereum con rendimiento nativo para ETH y stablecoins», según el content de advertising and marketing de su sitio web oficial. El sitio web también indica que Blast permite que el saldo del usuario se «car-componga» y que las stablecoins enviadas se convierten en «USDB», una stablecoin que se car-compone a través del protocolo T-Monthly bill de MakerDAO. El equipo de Blast no ha publicado documentos técnicos que expliquen cómo funciona el protocolo, pero afirman que se publicarán cuando se realice el lanzamiento aéreo en enero.
Blast se lanzó el 20 de noviembre. En los cuatro días intermedios, el TVL del protocolo ha pasado de cero a más de USD 400 millones.
El submit first de Watts dice que Blast puede ser menos seguro o descentralizado de lo que los usuarios se dan cuenta, afirmando que Blast «es solo un multisig 3/5». Si un atacante controla las claves de tres de los cinco miembros del equipo, puede robar todo el cripto depositado en sus contratos, alegó.
«Blast es solo un multisig 3/5…»
Pasé los últimos días analizando el código fuente para ver si esta afirmación es realmente cierta.
Esto es todo lo que aprendí:
— Jarrod Watts (@jarrodWattsDev) 23 de noviembre de 2023
Según Watts, los contratos de Blast se pueden actualizar a través de una cuenta de billetera multi-firma Safe (anteriormente Gnosis Safe and sound). La cuenta requiere tres de cinco firmas para autorizar cualquier transacción. Pero si las claves privadas que producen estas firmas se ven comprometidas, los contratos se pueden actualizar para producir cualquier código que el atacante desee. Esto significa que un atacante que lo logre podría transferir la totalidad de los USD 400 millones TVL a su propia cuenta.
Además, Watts afirmó que Blast «no es una capa 2», a pesar de que su equipo de desarrollo lo afirma. En cambio, Blast simplemente «[a]cepta fondos de usuarios» y «[a]puesta los fondos de los usuarios en protocolos como LIDO,» sin utilizar un puente o testnet actual para realizar estas transacciones. Además, no tiene una función de retiro. Para poder retirar en el futuro, los usuarios deben confiar en que los desarrolladores implementarán la función de retiro en algún momento en el futuro, según afirmó Watts.
Además, Watts afirmó que Blast contiene una función «enableTransition» que se puede utilizar para establecer cualquier contrato inteligente como el «mainnetBridge», lo que significa que un atacante podría robar la totalidad de los fondos de los usuarios sin necesidad de actualizar el contrato.
A pesar de estos vectores de ataque, Watts afirmó que no cree que Blast pierda sus fondos. «Personalmente, si tuviera que adivinar, no creo que los fondos sean robados», afirmó, pero también advirtió que «personalmente creo que es arriesgado enviar fondos a Blast en su estado precise».
En un hilo desde su propia cuenta de X, el equipo de Blast afirmó que su protocolo es tan seguro como otras capas 2. «La seguridad existe en un espectro (nada es 100% seguro)» afirmó el equipo, «y es matizada con muchas dimensiones». Puede parecer que un contrato no actualizable es más seguro que uno actualizable, pero esta visión puede ser equivocada. Si un contrato no es actualizable pero contiene errores, «estás muerto en el agua», afirmó el hilo.
El equipo de Blast afirma que el protocolo utiliza contratos actualizables por esta misma razón. Sin embargo, las claves de la cuenta Secure están «en almacenamiento en frío, gestionadas por una parte independiente y geográficamente separadas». En la vista del equipo, este es un medio «altamente efectivo» para salvaguardar los fondos de los usuarios, que es «por qué L2s como Arbitrum, Optimism, Polygon» también utilizan este método.
Blast no es el único protocolo que ha sido criticado por tener contratos actualizables. En enero, James Prestwich, fundador de Summa, argumentó que Stargate bridge tenía el mismo problema. En diciembre de 2022, el protocolo Ankr fue explotado cuando su contrato inteligente se actualizó para permitir la creación de 20 billones de Ankr Reward Bearing Staked BNB (aBNBc) de la nada. En el caso de Ankr, la actualización fue realizada por un ex empleado que pirateó la foundation de datos del desarrollador para obtener su clave de implementación.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Noticias Blockchain. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto full invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.