¿Qué es una auditoría de seguridad de contrato inteligente?

TL;DR
Las auditorías de seguridad de contratos inteligentes proporcionan un análisis detallado de los contratos inteligentes de un proyecto. Esto es importante para proteger los fondos invertidos a través de él. Debido a que todas las transacciones en blockchain son definitivas, los fondos no se pueden recuperar en caso de robo. Normalmente, un auditor examinará el código del contrato inteligente, creará un informe y luego lo proporcionará al proyecto para su seguimiento. Luego se publica un informe final que detalla los errores restantes y el trabajo realizado para abordar los problemas relacionados con el rendimiento o la seguridad.

IntroducciónLas auditorías de seguridad de contratos inteligentes son muy comunes en el ecosistema de finanzas descentralizadas (DeFi). Si ha invertido en un proyecto blockchain, su decisión puede basarse en parte en los resultados de una revisión del código de contrato inteligente.
Si bien la mayoría de la gente comprende la importancia de la auditoría de las criptomonedas, no mucha gente profundiza en el campo del código. Echemos un vistazo a los métodos, herramientas y resultados que normalmente se encuentran en las auditorías de seguridad de contratos inteligentes para que pueda tomar decisiones más informadas.

¿Qué es una auditoría de contrato inteligente?Las auditorías de seguridad de contratos inteligentes examinan y comentan el código de contrato inteligente de un proyecto. Normalmente, estos contratos están escritos en el lenguaje de programación Solidity y se proporcionan a través de GitHub. Las auditorías de seguridad son especialmente valiosas para los proyectos DeFi que pretenden manejar millones de dólares en transacciones de blockchain o una gran cantidad de jugadores. Las auditorías suelen seguir un proceso de cuatro pasos:
1. El contrato inteligente se proporciona al equipo de auditoría para su análisis inicial.
2. El equipo auditor presenta sus hallazgos al proyecto para su seguimiento.
3. El equipo del proyecto realiza cambios en función de los problemas encontrados.
4. El equipo auditor publica un informe final teniendo en cuenta cualquier cambio nuevo o error restante.
Para la mayoría de los usuarios de criptomonedas, las auditorías de contratos inteligentes son importantes a la hora de invertir en nuevos proyectos DeFi. Este se ha convertido en el estándar para proyectos que quieren ser tomados en serio. Ciertos proveedores de auditoría también son considerados líderes en la industria, lo que hace que sus auditorías sean más valiosas a los ojos de los inversores.

¿Por qué necesitamos una auditoría de contrato inteligente?Dado el gran valor de las transacciones que pasan o están bloqueadas en contratos inteligentes, estos fondos se convierten en objetivos atractivos para ataques maliciosos de piratas informáticos. Un pequeño error de codificación puede provocar el robo de grandes cantidades de dinero. Por ejemplo, el hackeo de DAO en la cadena de bloques Ethereum robó alrededor de 60 millones de dólares en ETH e incluso provocó una bifurcación dura de la red Ethereum.
Debido a que las transacciones de blockchain son irreversibles, es importante garantizar que el código del proyecto sea seguro. Las características altamente seguras de la tecnología blockchain dificultan la recuperación de fondos y la resolución de problemas, por lo que es preferible prevenir las vulnerabilidades a toda costa.

¿Cómo funciona una auditoría de contrato inteligente?El proceso de auditoría de contratos inteligentes es bastante estándar entre los proveedores de auditoría. Aunque el enfoque de cada auditor puede variar ligeramente, el proceso general es el siguiente:
1. Determinar el alcance de la auditoría. El contrato inteligente y las especificaciones del proyecto están determinados por el proyecto (su propósito previsto) y su arquitectura general. Las especificaciones ayudan a los equipos de auditoría a comprender los objetivos del proyecto al crear e implementar código.
2. Proporcione una cotización inicial basada en la cantidad de trabajo realizado.
3. Ejecute la prueba. Las características exactas cambiarán según el equipo de auditoría, las herramientas de análisis y los métodos. Normalmente, se realizan pruebas tanto manuales como automatizadas.
4. Crear un borrador inicial del informe con los errores encontrados y proporcionarlo al equipo del proyecto para su retroalimentación y seguimiento en forma de mejoras.
5. Emitir un informe final considerando las acciones tomadas por el equipo para abordar los temas discutidos.

Contrato inteligente de auditoría de métodoEficiencia del gas Las auditorías de contratos inteligentes no se centran sólo en la seguridad de blockchain. Esta auditoría también analiza la eficiencia y la optimización. Algunos contratos realizan una serie compleja de transacciones para completar su función prevista. Dado que las tarifas del gas en redes como Ethereum son relativamente altas, los contratos eficientes pueden ahorrar mucho en tarifas de transacción.
La optimización del rendimiento también es un indicador de la habilidad del desarrollador. Las medidas ineficientes magnifican el fracaso y deben evitarse. Cuando las tarifas del gas son altas, es posible que los contratos inteligentes no se ejecuten, especialmente cuando se utilizan límites bajos de gas.
Vulnerabilidades del contratoLa mayor parte del trabajo de auditoría implica verificar los contratos en busca de vulnerabilidades de seguridad. Si bien algunos problemas son fáciles de detectar, la mayoría implica técnicas y estrategias avanzadas para drenar fondos. Por ejemplo, la manipulación del mercado se puede utilizar con contratos inteligentes débiles para llevar a cabo ataques de préstamos flash. Para descubrir estos problemas, los auditores comienzan el proceso de probar vulnerabilidades y simular ataques maliciosos en contratos inteligentes. Las vulnerabilidades comunes incluyen:
1. Problema de reingreso: el contrato inteligente realiza una llamada externa a otro contrato externo antes de que se complete cualquier efecto. Luego, el contrato externo puede llamar repetidamente al contrato inteligente inicial e interactuar con él de maneras que no debería poder hacerlo, porque el saldo del contrato inicial no se ha actualizado.
2. Desbordamiento y subdesbordamiento de enteros: los contratos inteligentes realizan operaciones aritméticas, pero los resultados exceden la capacidad de almacenamiento (generalmente 18 decimales). Esto puede provocar que se calcule una cantidad incorrecta.
3. Oportunidades de primera línea: un código mal estructurado puede provocar alertas tempranas de compra o venta en el mercado. Como resultado, esto puede permitir que otros utilicen esa información y negocien con ella para su propio beneficio.
Fallos de seguridad de la plataformaLa mayoría de las auditorías incluyen examinar la red que aloja el contrato e incluso las API utilizadas para interactuar con la DApp. Un proyecto puede ser vulnerable a ataques DDoS o sufrir una brecha en la interfaz de usuario de su sitio web. Esto significa que los usuarios conectarán sus billeteras a aplicaciones blockchain maliciosas.

¿Qué es un informe de auditoría?El informe de auditoría se proporciona al final del proceso de auditoría. En aras de la transparencia, se espera que los proyectos compartan sus hallazgos con la comunidad. La mayoría de los informes clasifican los problemas según su gravedad, como críticos, mayores, menores, etc. El informe también incluirá el estado del problema, ya que el proyecto tiene tiempo para resolverlo antes de la publicación del informe final.
Además del resumen ejecutivo, un informe estándar contendrá recomendaciones, ejemplos de código redundante y una descripción completa de la ubicación de los errores de codificación. A los proyectos se les da tiempo para actuar sobre las conclusiones del informe antes de que se publique la versión final.

¿Dónde puedo obtener una auditoría de contrato inteligente?Varios servicios de auditoría de contratos inteligentes se han vuelto conocidos por sus servicios. Dos de ellos se han vuelto bastante populares y para obtener una auditoría se requerirá una cotización inicial y el envío de información.
CertiKCertiK es líder de la industria en lo que respecta a la auditoría de contratos inteligentes. Cientos de proyectos han auditado contratos inteligentes con ellos. PancakeSwap, el creador de mercado automatizado (AMM) más grande de BSC, es un ejemplo. A continuación se muestra parte de la auditoría de PancakeSwap realizada por CertiK.

Además, CertiK ha auditado los contratos de la mayoría de los proyectos respaldados por Binance Labs. CertiK lanzó una tabla de clasificación de proyectos auditada que le permite comparar cada uno junto con una puntuación de seguridad. Tenga en cuenta que, además de Ethereum, CertiK también cubre los proyectos BSC y Polygon.

Diligencia de ConsenSysConsenSys, dirigido por Joseph Lubin, cofundador de Ethereum, es el nombre más importante en la industria de las criptomonedas en lo que respecta al desarrollo de blockchain. Con ConsenSys Diligence, la empresa ofrece auditoría de contratos inteligentes de Ethereum. También brindan un servicio automatizado que verifica los contratos de la máquina virtual Ethereum (EVM) para detectar problemas comunes.

¿Cuánto cuesta una auditoría de contrato inteligente?El costo exacto de una auditoría depende de la cantidad de contratos inteligentes que se examinarán. Normalmente, una auditoría costará miles de dólares. Un proyecto lo suficientemente grande puede costar más de 10.000 dólares. La empresa auditora que realiza la auditoría por usted y su reputación también influirán en el importe pagado.

ClausuraAfortunadamente, para inversores y usuarios, la auditoría de contratos inteligentes se ha convertido en el estándar de oro. Sin embargo, si todos los proyectos lo hacen, ya no será fácilmente un indicador de valor. Por eso es tan importante leer su propia auditoría. Incluso si no tiene conocimientos técnicos, puede resultar útil ver los comentarios y la gravedad de los posibles problemas.
Cuando se encuentre con una auditoría, ahora al menos le resultará más fácil comprender su contenido. Asegúrese siempre de que cada decisión de inversión tenga en cuenta el panorama completo y considere toda la información.