L2 Beat plantea preguntas sobre la gestión de millones en fondos de usuarios por parte de Multichain

La gran mayoría de las criptomonedas perdidas por hackeos este año fueron robadas de los puentes, la tecnología que permite a los usuarios transferir activos digitales entre cadenas de bloques.

Las razones son claras: los puentes son complicados y brindan a los atacantes más vías para explotar. 

Además, proporcionan un único punto de falla: un contrato inteligente que mantiene el dinero del usuario en depósito mientras los tokens "transferidos", esencialmente pagarés, se usan en la cadena de destino.

Movimiento inusual

Entonces, los investigadores de L2 Beat se sorprendieron cuando investigaron Multichain, una plataforma puente con $ 1B en valor total bloqueado, y encontraron una amenaza aparente desde adentro.

En un movimiento inusual, Multichain transfirió millones en fondos de usuarios del depósito en garantía para proporcionar liquidez en otra parte de su red, según L2 Beat, un proyecto de investigación que analiza el espacio de la cadena de bloques de Capa 2.

“Ese es el dinero de los usuarios, así que esto se acuerda con los usuarios en esta cadena o rompieron un contrato social con los usuarios”, dijo a The Defiant Bartek Kiepuszewski, investigador de L2 Beat.

Ese es el dinero de los usuarios, así que esto se acuerda con los usuarios en esta cadena o rompieron un contrato social con los usuarios.

Bartek Kiepuszewski

Si bien la transferencia de los tokens del depósito en garantía se puede ver en la cadena, según Kiepuszewski, a dónde fueron finalmente esos tokens es un misterio. 

Multichain afirma que los tokens se utilizaron para proporcionar liquidez en otros lugares de su red, pero el tamaño de esa red significa que confirmar las afirmaciones es extremadamente difícil para un equipo pequeño como L2 Beat.

Michael Lewellen, jefe de soluciones de la firma de criptoseguridad Open Zeppelin, dijo que la práctica es problemática.

“Si no hay una forma clara de identificar que los activos que el puente afirma respaldar no están presentes en algún lugar que sea públicamente verificable, definitivamente lo señalaría como una preocupación específica para el puente”, dijo Lewellen a The Defiant. 

Las acusaciones de L2 cuestionan el comportamiento y las prácticas de seguridad en una organización responsable de más de $ 1 mil millones en fondos de usuarios. Multichain conecta docenas de blockchains y admite miles de tokens. Confirmar que Multichain todavía tiene esa criptografía, que no ha sido robada o jugada en los protocolos DeFi, sería una tarea hercúlea.

Duda fresca

Además, las acusaciones podrían generar nuevas dudas sobre la tecnología de puentes, que este año ha sufrido enormes daños a manos de los piratas informáticos.

Tres de los cinco hacks más grandes en la historia de las criptomonedas ocurrieron este año, y cada uno de ellos fue un hack de puente, según el exploit de Rekt. clasificación. Se tomaron más de $ 600 millones de Ronin Network. Se tomaron casi $ 600 millones de un puente de Binance. Se tomaron más de $ 300 millones del puente Wormhole. 

Multichain no respondió a múltiples solicitudes de comentarios enviadas a través de la dirección de correo electrónico de contacto que figura en su sitio web.

Supuestos de seguridad

El episodio destaca el papel que juega L2 en el escrutinio del espacio de escalado de blockchain. Cuando el fabricante del protocolo de préstamo estaba considerando expandirse a cadenas de bloques de capa 2 como Optimism y Arbitrum, necesitaba comprender mejor cómo funcionaban esas cadenas de bloques. 

El proyecto resultante finalmente se separó de Maker y se convirtió en L2 Beat, un sitio web que enumera innumerables cadenas de bloques de Capa 2, la cantidad de dinero que tienen y las suposiciones de seguridad que hacen.

[Contenido incrustado]

Este mes, el proyecto se amplió con el lanzamiento de un tablero para protocolos puente. Además de Multichain, el segundo protocolo de puente más grande del mundo, el equipo de L2 Beat agregó un pequeño escudo amarillo con un signo de exclamación, advirtiendo a los usuarios de la supuesta irregularidad.

“Cada puente funciona más o menos de la misma manera”, explicó Kiepuszewski. “Usted envía tokens a una dirección y los [nuevos] tokens serían acuñados por validadores en el destino [blockchain]. Si desea regresar, sucede lo contrario, por lo que quema tokens en el destino y los validadores deben liberar los tokens de esa dirección de depósito a la que envió originalmente los tokens”.

Red de liquidez

Los protocolos de puente que no pueden acuñar nuevos tokens en una cadena de destino utilizan en su lugar el método de "red de liquidez". Los proveedores de liquidez depositan tokens en fondos de liquidez en la cadena de destino. Esos tokens están disponibles para los usuarios que se conectan a esa cadena de bloques, y se devuelven al grupo cuando los usuarios del puente se retiran a su cadena de origen.

Multichain, que tiene puentes a docenas de cadenas de bloques, es un híbrido, según L2 Beat. En algunos casos acuña fichas. En otros, utiliza fondos de liquidez.

Según la investigación de Kiepuszewski, los validadores de Multichain obtuvieron casi USD 80 millones en monedas estables y 300 Bitcoin de un contrato de depósito en garantía, lo que dejó más criptografía en la cadena de destino de la que quedaba en el contrato.

Kiepuszewski dijo que contactó a Multichain y los representantes le dijeron que la criptografía se ha utilizado para suministrar fondos de liquidez en diferentes cadenas.

“Afirman que, en su opinión, esto no es problemático, porque el dinero aún reside en el ecosistema Multichain y, en su opinión, los usuarios siempre deberían poder retirar la cantidad que necesitan”, dijo Kiepuszewski. Pero realizar una auditoría “ahora se vuelve sumamente complicado, porque hay que analizar todo el ecosistema Multicadena, ¿no?”

Lewellen de Open Zeppelin estuvo de acuerdo. “Incluso para las redes de liquidez”, dijo. "Hay al menos una manera de ver los diferentes grupos [de proveedores de liquidez] y las diferentes cadenas e identificar que los activos generales emitidos por un puente coinciden con algún grupo de liquidez en otro lugar".

Lewellen y Kiepuszewski dijeron que un tablero que muestre la ruta que están tomando sus fondos contribuiría en gran medida a calmar las preocupaciones sobre el movimiento de las criptomonedas de los usuarios.

Vulnerabilidades de software

También agrega una nueva arruga al evaluar si Multichain es un lugar seguro para estacionar el dinero. Por lo general, una auditoría confirmaría si existen vulnerabilidades de software. Ahora, los usuarios también deben preguntarse si se puede confiar en Multichain con su dinero, dijo Kiepuszewski.

Incluso si los fondos están bajo custodia, acceder a ellos de manera oportuna puede ser difícil. Y eso presenta sus propios problemas, según Lewellen, quien señaló el hecho de que parece haber menos Dai en el puente Fantom de Multichain que tokens Dai acuñados por Multichain en Fantom. 

sin claridad

Según L52 Beat, más de $ 1 millones de Dai conectados a Fantom, una cadena de bloques de Capa 2, supuestamente fueron retirados del depósito en garantía por los validadores de Multichain. 

Si Dai perdiera su paridad con el dólar estadounidense, y las personas con Dai en Fantom quisieran canjear ese Dai por USD, podrían perder una cantidad significativa de dinero en el tiempo que lleva ubicar y transferir el Dai que debería haber estado en depósito en garantía, según Lewellen. 

“No es que esto vaya a suceder hoy, pero podría suceder si estos factores se alinean de una manera que no es muy favorable para Multichain”, dijo, “y creo que, en última instancia, de ahí proviene la preocupación. Simplemente no tiene claridad sobre cómo Multichain está gestionando este riesgo".