Opinião: L2s, garantidas pela segurança do Ethereum, já não correspondem mais à realidade

Autor: Ishita

Tradução: TechFlow

O desenvolvimento do Ethereum na última década girou em torno de uma promessa simples: escalar a rede sem sacrificar a descentralização. Segundo seu roadmap, a resposta é um futuro centrado em Rollups. Nessa arquitetura, as redes Layer 2 (L2 ou “Rollups”) executam transações fora da cadeia, proporcionando custos mais baixos e maior throughput, enquanto ainda obtêm garantias de segurança do Ethereum como camada base (Layer 1).

Praticamente todos os principais projetos de Rollup, incluindo Arbitrum, Optimism, Base, zkSync e Scroll, têm como núcleo de sua marca a frase “seguro pelo Ethereum”. Esse slogan é poderoso e está no centro de sua narrativa de marketing, mas será que realmente corresponde à realidade? Uma análise mais profunda de como esses Rollups realmente funcionam e de como os ativos circulam dentro deles mostra que essa afirmação é nebulosa.

Este artigo irá dissecar a lacuna entre o slogan e a realidade, começando pela ponte (onde estão os fundos dos usuários), passando pelo sequenciador (quem ordena as transações) e chegando à governança (quem define as regras), discutindo cada ponto.

A realidade das pontes dos Rollups

Os Rollups afirmam ser “seguros pelo Ethereum”, mas essa afirmação esconde a forma como os usuários realmente interagem com esses sistemas.

Para usar um Rollup, seja para DeFi, pagamentos ou aplicativos, primeiro é necessário transferir ativos para o Rollup. No entanto, o Ethereum não possui uma funcionalidade embutida para transferências diretas de entrada ou saída — você não pode simplesmente “teletransportar” ETH para um Rollup. Isso exige o uso de pontes (Bridge). As pontes são as portas de entrada e saída entre o Ethereum e o Rollup, determinando o nível real de segurança percebido pelo usuário.

Como funcionam as pontes

Depósito

Quando você deposita ETH em um rollup, na verdade está enviando para um contrato de ponte no Ethereum (Bridge Contract). Esse contrato bloqueia seu ETH e instrui o rollup a criar a mesma quantidade de ETH em sua carteira L2. Por exemplo, se você depositar 1 ETH, o contrato de ponte manterá esse 1 ETH seguro no Ethereum, e sua conta no rollup mostrará 1 ETH. Como o ETH está bloqueado no Ethereum, esse depósito é minimamente dependente de confiança.

Saque

O saque é muito mais complexo. O processo de saída é o oposto do depósito:

1. Você destrói (ou bloqueia) tokens no Rollup.

2. Você envia uma mensagem ao contrato de ponte do Ethereum: Eu destruí tokens na L2, por favor, libere meu ETH bloqueado.

3. O problema é: o Ethereum não consegue ver o que acontece dentro do Rollup, ele é cego para os cálculos da L2.

Portanto, o Ethereum só libera seus fundos se a ponte fornecer provas de que o saque é legítimo. Essas provas podem incluir:

• Fraud Proofs (provas de fraude, abordagem otimista): Assume-se que as transações são legítimas, a menos que sejam contestadas dentro de uma janela de disputa.

• Validity Proofs (provas de validade, abordagem de conhecimento zero): Provas criptográficas mostram antecipadamente que todas as transações seguem as regras, permitindo que o Ethereum confie imediatamente no resultado.

• Multisigs ou Comitês: Confia-se em partes confiáveis para autenticação.

A ponte é a chave para o acesso do usuário ao Rollup. Pode-se compará-la a uma janela de uma casa. Mesmo que a janela (Bridge) quebre, a casa (Rollup) permanece de pé. Mas se a janela estiver quebrada, você não pode entrar ou sair com segurança. Da mesma forma, uma falha na ponte corta o acesso do usuário, mesmo que o mecanismo central do Rollup continue funcionando.

Portanto, a camada de ponte é a verdadeira perspectiva de segurança dos Rollups. Se os ativos são realmente “seguros pelo Ethereum” depende da ponte utilizada e de seu modelo de confiança, não do Rollup em si.

Modelos de ponte e seus pressupostos

• Pontes oficiais (Canonical Bridges): A ponte oficial é a “ponte oficial de cada Rollup” diretamente vinculada ao Ethereum. Quando os usuários bloqueiam ativos aqui, os validadores do Ethereum garantem que, mesmo que a L2 pare de funcionar, o usuário poderá sacar de volta para a Layer 1. Este é o único método de ponte que herda diretamente as propriedades de segurança do Ethereum.

• Pontes externas (External Bridges): Pontes como Wormhole, LayerZero e Axelar otimizam a experiência do usuário com transferências rápidas entre cadeias, mas dependem de seus próprios comitês de validadores ou mecanismos multisig. Essas pontes não são aplicadas pelo consenso do Ethereum. Se esses operadores off-chain forem hackeados ou agirem de má-fé, mesmo que o Ethereum funcione normalmente, os usuários ainda podem perder fundos.

• Emissão nativa (Native Issuance): Refere-se a tokens cunhados diretamente no Rollup, como USDC na Base ou OP na Optimism. Esses ativos nunca passaram por uma ponte oficial e não podem ser resgatados na Layer 1. Sua segurança depende da governança e infraestrutura do Rollup, não do Ethereum.

Distribuição real dos ativos dos Rollups

Até 29 de agosto de 2025, os Rollups do Ethereum protegem um total de aproximadamente US$ 43,96 bilhões em ativos, distribuídos da seguinte forma:

• Pontes externas: US$ 16,95 bilhões (39%) — a maior fatia

• Pontes oficiais: US$ 14,81 bilhões (34%) — ativos garantidos pelo Ethereum

• Emissão nativa: US$ 12,20 bilhões (27%) — ativos nativos dos Rollups

Análise de tendências históricas

Entre 2019 e 2022, as pontes oficiais foram o principal motor de adoção dos Rollups. Quase todo o crescimento inicial ocorreu por meio de pontes oficiais, mantendo o Ethereum como núcleo.

No entanto, a partir do final de 2023, a situação começou a mudar:

• As pontes oficiais continuaram crescendo, mas sua participação de mercado começou a diminuir, atingindo o pico em 2024.

• A emissão nativa expandiu gradualmente, especialmente entre 2024 e 2025.

• As pontes externas cresceram rapidamente a partir do final de 2023, superando as pontes oficiais no início de 2025, marcando a perda da maioria dos ativos dos Rollups pelo Ethereum.

• Hoje, dois terços dos ativos dos Rollups (externos + nativos) já não contam mais com a segurança direta do Ethereum.

Detalhamento do ecossistema dos Rollups

O mercado é altamente concentrado: os seis maiores Rollups respondem por 93,3% do TVL total. A distribuição dos ativos em cada ecossistema é a seguinte:

• Pontes oficiais: 32,0%

• Emissão nativa: 28,8%

• Pontes externas: 39,2%

Análise geral do padrão do gráfico de pizza

• Pontes externas dominam: Em Arbitrum e Unichain, os usuários buscam saques rápidos e liquidez, preferindo pontes de terceiros.

• Pontes oficiais dominam: Em Linea (e, em menor grau, OP Mainnet), mais colaterais provenientes da L1 entram por pontes oficiais.

• Emissão nativa domina: Em zkSync Era e Base, ativos são cunhados diretamente na L2 (como USDC nativo na Base) e entram por canais diretos.

Ponto-chave: A maior parte dos ativos dos grandes Rollups já está fora do alcance direto da segurança do Ethereum. A segurança real percebida pelo usuário depende do mecanismo de confiança por trás de cada modelo de ponte, não do próprio Rollup.

Além das pontes: que outros riscos existem?

O modelo de ponte determina a custódia dos ativos, mas mesmo que todos os ativos passem por pontes oficiais, os usuários ainda enfrentam outros riscos de confiança e segurança. Três áreas são especialmente importantes: mecanismo de ordenação de transações, estrutura de governança e o impacto da composabilidade na experiência do usuário.

1. Sequenciador: ponto central de controle

O sequenciador é responsável por decidir a ordem e o agrupamento das transações. Atualmente, quase todos os Rollups usam sequenciadores centralizados, um design eficiente e lucrativo, mas que traz os seguintes riscos:

• Censura de transações: O sequenciador pode recusar a inclusão de certas transações, efetivando censura.

• Bloqueio de saques: O sequenciador decide quando enviar lotes de saques para o Ethereum, podendo bloquear saques indefinidamente.

• Desligamento total: Se o sequenciador cair, a atividade do Rollup é pausada até que ele volte ao ar. (Por exemplo, o Arbitrum já ficou 78 minutos fora do ar)

O Ethereum oferece o mecanismo de “forçar inclusão” (Force Inclusion), permitindo que usuários enviem transações diretamente para a Layer 1 para contornar o sequenciador. No entanto, esse mecanismo não garante justiça, pois o sequenciador ainda controla a ordem dos blocos, o que pode prejudicar a experiência do usuário. Por exemplo:

• Suponha que você tente sacar fundos da Aave na L2.

• E envie um pedido de saque forçado pelo Ethereum, o que significa que o sequenciador não pode ignorar sua transação.

• No entanto, o sequenciador pode inserir suas próprias transações antes da sua — por exemplo, tomar mais empréstimos do mesmo pool de fundos.

• Quando sua transação de saque for executada, o pool já não terá liquidez suficiente, causando falha no saque.

• Sua transação foi “incluída”, mas o resultado foi prejudicado.

Além disso, o mecanismo de forçar inclusão tem problemas práticos: o tempo de espera pode chegar a várias horas (às vezes mais de 12 horas), o throughput é limitado e, mesmo após o envio, a ordem pode ser alterada. Portanto, esse mecanismo funciona mais como uma válvula de segurança lenta do que como uma garantia de execução justa.

Sequenciadores descentralizados estão ganhando atenção. Projetos como Espresso e Astria estão construindo redes de sequenciadores compartilhados para aumentar a resiliência e a interoperabilidade.

Um conceito central é o de “pré-confirmações” (Pre-Confirmations): o sequenciador ou a rede compartilhada pode prometer antecipadamente que a transação será incluída, mesmo que ainda não tenha sido confirmada no Ethereum. Isso reduz a latência causada pela descentralização, oferecendo garantias mais rápidas ao usuário e mantendo a neutralidade.

Ainda assim, os sequenciadores centralizados continuam dominando, pois são simples, lucrativos e mais atraentes para instituições — pelo menos até que a concorrência ou a demanda dos usuários exijam mudanças.

2. Riscos de governança e incentivos: L2s corporativos

Quem opera o Rollup é fundamental. Muitos dos principais Rollups são operados por empresas ou equipes financiadas por venture capital, como a Base da Coinbase, a Arbitrum da Offchain Labs e a Optimism da OP Labs.

Essas equipes têm como principal obrigação seus acionistas e investidores, não o contrato social do Ethereum.

• Responsabilidade com acionistas → Pressão por lucro: Inicialmente, taxas baixas para atrair usuários, depois, com liquidez e aplicativos bloqueados, as taxas aumentam (modelo típico de “taxa de plataforma”). No futuro, podem surgir taxas mais altas de sequenciador, integrações prioritárias ou regras que favoreçam o negócio do operador.

• Efeito de bloqueio → Alavancagem: Com bilhões de dólares em TVL e muitos usuários, o custo de saída aumenta, permitindo que o operador mude políticas ou economia com baixo risco de migração.

• Desalinhamento cultural: O Ethereum depende de desenvolvimento aberto, diversidade de clientes e governança aberta (como EIPs). Já os Rollups corporativos tendem a uma gestão de cima para baixo, geralmente com chaves de administrador ou multisigs que podem pausar, atualizar ou congelar o sistema — priorizando conformidade ou lucro, não neutralidade. Com o tempo, esses Rollups podem se tornar “jardins murados”, em vez de ecossistemas abertos como o Ethereum.

O resultado é um crescente abismo entre o espírito aberto do Ethereum e os incentivos que moldam os Rollups corporativos. Essa diferença afeta não só a governança, mas também a forma como os aplicativos interagem e a experiência do usuário no sistema.

3. Composabilidade e experiência do usuário

A “mágica” do Ethereum está na composabilidade atômica: contratos inteligentes podem ler e escrever de forma síncrona em uma única transação (por exemplo: trocar ativos na Uniswap, pagar uma dívida na Aave e acionar uma operação na Maker, tudo de uma vez). No entanto, as L2 quebram essa composabilidade:

• Assincronia: Mensagens entre Rollups têm latência, saques oficiais podem levar dias e pontes de terceiros aumentam as suposições de confiança.

• Isolamento: Liquidez e estado ficam fragmentados entre diferentes L2s, enfraquecendo a experiência DeFi fluida do Ethereum.

Qual é a solução?

Rollups nativos do Ethereum (projetados e governados segundo padrões da Layer-1) podem permitir leituras síncronas L2→L1, escritas síncronas L1→L2 e escritas atômicas entre Rollups, restaurando grande parte da composabilidade da Layer-1 enquanto expandem o espaço de bloco. Sem essas funções, a experiência do usuário (UX) tenderá cada vez mais para camadas convenientes, mas sem a segurança do Ethereum.

O futuro dos Rollups

Se a “segurança do Ethereum” quiser ser mais do que um slogan, sua segurança central deve depender da Layer 1, não de comitês off-chain ou sequenciadores de empresas. Três conceitos de design mostram essa tendência:

Rollup nativo: validação totalmente no Ethereum

• Diferente de exigir que o usuário confie em sistemas independentes de provas de fraude, zk provers não auditáveis ou comitês de segurança, o Rollup fornece um “rastro de transações” (Transaction Trace) que o Ethereum pode reexecutar por conta própria.

• Na prática, isso faz com que saques e correção de estado sejam direitos da Layer 1, não promessas: se o Rollup afirma que seu saldo é X, o Ethereum pode verificar diretamente essa afirmação.

• Esse design reduz a superfície de ataque das pontes, diminui a necessidade de chaves de pausa e mantém o Rollup alinhado com futuras atualizações do Ethereum.

• O trade-off é um custo maior na Layer 1, mas o benefício é simples: em caso de disputa, a decisão é da Layer 1.

• Ainda não há Rollups nativos lançados.

Rollup com ordenação por validadores do Ethereum

• Hoje, um sequenciador único pode reordenar ou atrasar transações, o que basta para prejudicar o mecanismo de “forçar inclusão”.

• Com um design baseado em ordenação, a ordem canônica das transações é decidida pelo consenso da Layer 1, tornando a censura e a reordenação de última hora muito mais difíceis.

• Forçar inclusão se torna um caminho normal, não uma válvula de segurança lenta. Projetos podem adotar “pré-confirmações” para manter a experiência do usuário fluida, enquanto a Layer 1 é o árbitro final da ordem.

• Esse design sacrifica parte da receita e flexibilidade da Layer 2, mas elimina o maior ponto único de controle da arquitetura atual.

• Equipes centrais pesquisando Rollups baseados em ordenação incluem Taiko, Spire e Puffer.

Rollup de armazenamento de chaves: resolvendo riscos de chaves e upgrades

• Em vez de cada Rollup e aplicativo lidar separadamente com recuperação de contas, chaves de sessão e rotação de chaves, um Rollup de “armazenamento de chaves” minimamente projetado padroniza essa lógica e a sincroniza em todos os lugares.

• O usuário pode girar ou recuperar chaves em um só lugar, e as mudanças se propagam para todas as Layer 2. Operadores precisam de menos chaves de emergência e administradores de menos “superpoderes”.

• O resultado final é menos carteiras hackeadas, menos upgrades de emergência após incidentes e uma separação mais clara entre segurança de contas e lógica de aplicativos.

• O design de Rollups de armazenamento de chaves ainda está apenas no campo teórico, sem implementações ativas.

Em resumo, esses conceitos de design abordam problemas reais enfrentados pelos usuários: mecanismos de saque dependentes de confiança, ordenação de transações controlada por uma única empresa e caminhos frágeis de chaves e upgrades.

Trazer validação, ordenação e segurança de contas para dentro do sistema do Ethereum é o caminho para que os Rollups sejam realmente “seguros pelo Ethereum” — e não apenas um slogan.