Recientemente, DEX Merlin en zkSync fue pirateado por más de 1,1 millones de dólares. El proyecto fue auditado por CertiK, que supervisa el 70% de todas las auditorías.
¿Es una auditoría 100% segura de que un proyecto es seguro?
Averigüemos esto usando la base de datos "REKT" del servicio De.Fi, que contiene más de 3000 registros de hacks y estafas de salida en web3 desde 2011.
//CertiK
Esta empresa representa el mayor número de auditorías en web3. De los 3.700 proyectos verificados, 33 están en la base de datos "REKT", lo que significa que fueron verificados, pero aun así fueron pirateados.
El reciente hack de DEX Merlin aún no se ha agregado a la base de datos y coloca a este proyecto en el puesto 34 de la lista de "auditoría fallida".
//PeckShield Inc.
Ocupa el segundo lugar en el anti-rating con 18 casos de hackeos y ragpules.
//Seguridad DeFi
El próximo contendiente con 12 hacks. A la positividad se suma el hecho de que desde 2021, este auditor no ha tenido casos de proyectos auditados o pirateados.
Tabla con la proporción de auditorías a hacks.
La que encabeza el post no debe considerarse la verdad definitiva sobre el éxito de las firmas de auditoría, ya que es demasiado general. Cada caso de piratería debe evaluarse individualmente.
La idea principal que queremos transmitir:
Las auditorías no garantizan la seguridad.
Normalmente, una auditoría se lleva a cabo según un escenario generalizado de posibles vulnerabilidades. Sin embargo, cada empresa tiene un código y una arquitectura únicos que requieren un enfoque individual.
¿Es realista realizar una auditoría en profundidad en el plazo de un mes? Grandes dudas al respecto.
resumámoslo
Una auditoría puede ayudar a mejorar la probabilidad de que los fondos asignados a un contrato inteligente en particular estén seguros. Y los proyectos sin auditoría son más susceptibles a la piratería y el robo que con ella.
Recuerde: no existen garantías del 100% en ningún lugar y el caso de las auditorías no es una excepción. Ten cuidado, DYOR y diversifica.