La auditoría de los contratos inteligentes es fundamental para establecer la confianza en su confiabilidad y las dApps asociadas, los proyectos de blockchain y un mayor panorama de DeFi.
Resumen
Los defensores de los contratos inteligentes sugieren que tienen el potencial de reducir en gran medida los costos asociados con la redacción del contrato y cualquier intervención judicial posterior que surja de ambigüedades contractuales. Sin embargo, es posible que los riesgos asociados con un contrato inteligente mal estructurado superen cualquier ahorro de costos medible. Una forma de mitigar potencialmente los escollos que podrían derivarse de depender únicamente de los contratos inteligentes es auditarlos.
¿Qué es una auditoría de contrato inteligente?
A medida que los contratos inteligentes se han vuelto cada vez más comunes, varias empresas se han lanzado con el objetivo de actuar como auditores de contratos inteligentes. Los auditores de contratos inteligentes suelen ser desarrolladores de blockchain que pretenden comprender cómo interactuar con la tecnología.
Una vez que los auditores de contratos inteligentes han recibido el código terminado de un contrato inteligente, a menudo realizan un análisis similar a lo que podría hacer un desarrollador para cualquier código o software. Este proceso generalmente incluye la redacción de documentos que explican la arquitectura del contrato inteligente, la detección de errores, el análisis del código manualmente y la prueba del contrato inteligente para asegurarse de que funciona según lo previsto.
Las vulnerabilidades que las auditorías podrían detectar pueden incluir aquellas comunes a todo el software, como una vulnerabilidad a los ataques de denegación de servicio (DoS), así como aquellas que son exclusivas del software blockchain. Una preocupación que puede surgir con los contratos inteligentes construidos por Ethereum en particular son los problemas de límite de gas. Al realizar transacciones en la cadena de bloques Ethereum, la plataforma en la que se construyen muchos contratos inteligentes, debe gastar lo que se conoce como gas, que es una tarifa que se cobra por usar la plataforma. Los límites de gas demasiado altos o demasiado bajos pueden provocar inconvenientes o retrasos en la ejecución de contratos inteligentes. Los contratos inteligentes generalmente requieren límites de gas más altos que las transferencias simples en Ethereum. Una auditoría podría evaluar si el límite de gas establecido en un contrato inteligente puede causar problemas en el futuro.
Es importante seleccionar una empresa o servicio de buena reputación para la auditoría de seguridad de su contrato inteligente. Para contratos inteligentes simples, las herramientas automatizadas pueden ser suficientes para asegurar que su contrato inteligente esté codificado correctamente. Para contratos inteligentes más sofisticados, un auditor experimentado puede encontrar vulnerabilidades poco comunes u ocultas. También pueden proporcionarle un informe completo que describa claramente esas vulnerabilidades y proporcione una guía práctica sobre cómo solucionarlas.
¿Qué es un “truco” de contrato inteligente?
En general, el software puede ser pirateado cuando un mal actor obtiene acceso al código fuente y edita el programa o instala código malicioso. Cuando las transacciones son hash o agregadas a una cadena de bloques, generalmente no son vulnerables a los tipos de piratería que ingresan código malicioso o cambian el código por completo. Sin embargo, si los contratos inteligentes no se construyen y auditan correctamente, existe el riesgo de que un pirata informático descubra agujeros en contratos inteligentes mal codificados y luego ejecute el contrato de una manera que las partes no anticipaban.
El ejemplo más notable de esta vulnerabilidad fue The DAO Hack de 2016. El DAO funcionó como un fondo de inversión descentralizado centrado en invertir en empresas blockchain. A medida que fluían los dólares de inversión, los desarrolladores se dieron cuenta de que existían vulnerabilidades en el contrato inteligente subyacente al DAO. La vulnerabilidad en el contrato inteligente fue posteriormente explotada por un pirata informático que construyó un contrato inteligente para interactuar con el DAO y robar los fondos invertidos.
Este evento en los mundos de Ethereum y las criptomonedas siempre será conocido como un “truco”, pero técnicamente, el contrato inteligente funcionó exactamente como se diseñó. El pirata informático no cambió el código fuente ni instaló malware, sino que simplemente encontró una vulnerabilidad que les permitió interactuar con el DAO de acuerdo con la forma en que se diseñó su contrato inteligente.
El DAO Hack hizo que Ethereum se bifurcara, por lo que ahora tenemos Ethereum (ETH) y Ethereum Classic (ETC) después de que algunas partes interesadas de Ethereum decidieran volver a una versión anterior de la cadena de bloques para recuperar los fondos pirateados.
Esta experiencia dejó en claro que probar contratos inteligentes es fundamental para la longevidad de los proyectos de blockchain que utilizan esta tecnología automatizada, especialmente cuando se trata de grandes sumas de dinero. Si bien los contratos inteligentes son inmutables una vez que se agregan a la cadena de bloques, siguen siendo vulnerables a los piratas informáticos si no se construyen y auditan correctamente desde el principio. Participar en una auditoría integral es crucial para garantizar la viabilidad a largo plazo de cualquier contrato inteligente.
