Auditoría de Contratos Inteligentes: ¿Tu protección de inversión o un impuesto sobre la inteligencia?

Antes de invertir en proyectos de Finanzas descentralizadas, seguramente has visto promociones como “Auditado por CertiK”. Pero, ¿realmente vale tanto el informe de auditoría? Hoy vamos a desglosar los entresijos de la auditoría de contratos inteligentes.

¿Por qué es imprescindible la auditoría?

Imagina que bloqueas 10 millones de dólares en un código, y si hay un error en el código, el dinero simplemente desaparece: las transacciones en blockchain son irreversibles, no hay forma de arrepentirse.

El ejemplo negativo más famoso de la historia es el ataque hackeo de The DAO en 2016, que robó directamente ETH por un valor de 60 millones de dólares. Este incidente obligó a Ethereum a realizar un hard fork para recuperarse. Todo por una vulnerabilidad de re-entrancy.

Por lo tanto, en lugar de esperar a que el dinero sea robado para llorar, es mejor gastar unos miles a decenas de miles de dólares en un equipo profesional para desactivar riesgos por adelantado. Ese es el valor de la auditoría.

¿Cómo es el proceso de auditoría?

Una auditoría completa generalmente se divide en cuatro pasos:

Primer paso: El equipo del proyecto envía el código del smart contract (generalmente escrito en Solidity) a la empresa de auditoría, informándoles de para qué sirve este contrato y cuánto dinero va a manejar.

Segundo paso: El equipo de auditoría ejecuta herramientas de escaneo automatizado + revisión de código manual, mientras simula varios escenarios de ataque. Aquí se descubrirán diversos problemas, desde críticos (que pueden ser mortales) hasta menores (insignificantes).

Paso tres: La empresa de auditoría presenta un borrador del informe al equipo del proyecto, enumerando todos los errores. En este momento, el equipo del proyecto debe corregirlos o proporcionar una justificación de por qué no los corrigen (esta justificación es muy importante).

Cuarto paso: Una vez que el equipo del proyecto realice las modificaciones, la empresa de auditoría emitirá el informe final. El informe debe indicar claramente qué problemas se han resuelto y cuáles aún existen.

¿Qué se revisa en una auditoría?

1. Vulnerabilidades de seguridad (este es el plato principal)

Las categorías de errores más comunes:

• Ataque de reentrada: Un contrato externo llama a tu contrato y aprovecha el momento en que aún no has actualizado el saldo de la cuenta para volver a llamarlo, robando directamente los fondos.
• Desbordamiento/Subdesbordamiento de enteros: Al realizar operaciones aritméticas, se supera el rango de valores (generalmente 18 decimales), lo que provoca un descontrol en el cálculo del saldo.
• Front-running: Alguien ve que tu transacción de compra de monedas aún está en el mempool, y realiza su transacción primero para adelantarse y aprovechar la diferencia de información para arbitrar.

2. Eficiencia de Gas

El código está mal escrito, cada interacción consume gas. En una red como Ethereum, donde las tarifas de gas son exorbitantes, optimizar el código puede ahorrar mucho dinero a los usuarios. El equipo de auditoría identificará aquellas operaciones innecesarias, llamadas de almacenamiento superfluas y propondrá sugerencias de optimización.

3. Vulnerabilidades de seguridad de la plataforma

No solo el smart contract en sí, la auditoría también examinará ¿Hay riesgos en la red que lo ejecuta (como BSC, Polygon), es posible que el sitio web frontal haya sido hackeado, es seguro el API? Algunos proyectos han visto su front-end atacado, y las billeteras de los usuarios se conectan directamente a contratos maliciosos, ¿de quién es la responsabilidad en este caso?

¿Cómo es un informe de auditoría?

Un informe de auditoría formal clasificará los problemas por severidad:

• Crítico（致命）：un bug que puede robar dinero directamente.
• Alto（高危）：puede causar pérdidas de fondos
• Medio (medio): Funciones anormales pero no llegan a perder dinero
• Bajo/Info（低危/信息）：problemas de estilo de código

El informe también enumerará la ubicación específica de cada problema, por qué es un problema y cómo solucionarlo. Un buen informe también incluirá ejemplos de código.

¿Quién está en este negocio?

CertiK

El líder del mercado de auditoría de Web3 ha auditado cientos de proyectos. PancakeSwap y muchos proyectos del ecosistema de Binance son auditados por ellos. CertiK también ha publicado un ranking donde puedes consultar la puntuación de auditoría de cualquier proyecto.

ConsenSys Diligence

La empresa detrás de Joseph Lubin, cofundador de Ethereum, se dedica principalmente a la auditoría del ecosistema de Ethereum. También proporcionan herramientas de escaneo automatizadas, especializadas en encontrar vulnerabilidades comunes en los contratos EVM.

¿Cuánto costará la auditoría?

Los proyectos pequeños pueden costar entre 3000 y 5000 dólares, mientras que los grandes proyectos comienzan en más de 10000. Cuanto más renombrada sea la empresa de auditoría y más complejo sea el proyecto, más caro será.

Últimas palabras

Ahora, cualquier proyecto que quiera ser visto como “ejército regular” básicamente realizará auditorías. Pero esto también ha llevado a un problema: obtener un informe de auditoría ya no es una condición necesaria para la inversión, sino que se ha convertido en una configuración básica.

Así que solo mirar si hay auditoría ya no tiene tanto valor. Lo que realmente deberías hacer es:

1. Ver qué empresa realizó la auditoría (si tiene alta notoriedad o no)
2. Abre el informe y mira cuántos bugs críticos encontraste (si hay muchos, significa que el código es muy malo)
3. ¿El equipo del proyecto ha tomado en serio la corrección de estos problemas (los que evitan corregir, tengan cuidado)?
4. Lo más importante: no solo mires la auditoría, también debes considerar el trasfondo del proyecto, la situación de financiamiento y el tamaño de la comunidad para hacer un juicio integral

El informe de auditoría es solo uno de los datos de referencia para la toma de decisiones de inversión, no es una biblia. Usar la cabeza para pensar siempre es la mejor gestión de riesgos.