Home-theater-designers
Las auditorías de seguridad de contratos inteligentes lo ayudan a identificar posibles vulnerabilidades de seguridad en su sistema. Le permiten abordar estas vulnerabilidades antes de que una parte malintencionada se aproveche de ellas y arruine su plataforma.
Sin embargo, con una tecnología tan nueva, es posible que se pregunte qué es una auditoría de contrato inteligente, por qué es importante una auditoría de contrato inteligente y si realmente necesita una auditoría de contrato inteligente de todos modos.
MAKEUSEOF VÍDEO DEL DÍA
¿Qué es una auditoría de contrato inteligente?
Una auditoría de contrato inteligente es una inspección y un análisis minuciosos y sistemáticos del código. utilizado por un contrato inteligente para interactuar con una criptomoneda o blockchain. Este proceso se utiliza para encontrar errores, problemas técnicos y lagunas de seguridad en el código. Con esto, los expertos en auditoría de contratos inteligentes pueden recomendar soluciones y realizar cambios. Por lo general, se requieren auditorías de contratos inteligentes porque la mayoría de los contratos tratan con elementos valiosos y activos financieros.
Una auditoría de contrato inteligente no proporciona una garantía del 100% de que el contrato estará libre de errores o vulnerabilidades. Sin embargo, garantiza que el contrato inteligente sea seguro, ya que ha sido evaluado por un experto en tecnología.
Ciberataques en Blockchains y Contratos Inteligentes
La carga recae en los desarrolladores de blockchain para encontrar vulnerabilidades de seguridad y corregirlas antes de que las vulnerabilidades se utilicen en ataques del mundo real.
Las entidades maliciosas utilizan dos métodos principales para lanzar un ataque exitoso: cebo y el ataque de reentrada. El primero se basa en trucos de ingeniería social como persuadir a una víctima para que envíe criptomonedas a la billetera del atacante; la segunda y más complicada estrategia requiere una comprensión integral de los contratos inteligentes de blockchain y elementos relacionados, como carteras de cadena lateral y de cadena cruzada, así como un conocimiento de varios protocolos.
Aquí hay tres ataques notables de blockchain.
agujero de gusano
El hackeo de Wormhole Bridge es el segundo ataque de criptomonedas más grande hasta la fecha. Wormhole, un puente popular que une las cadenas de bloques Ethereum y Solana, perdió aproximadamente $ 320 millones debido a un pirateo. El atacante aprovechó una laguna en el puente para robar 120k Wrapped Ether por valor de 323 millones de dólares.
El atacante pudo acuñar alrededor de 20 000 wETH, un equivalente de Ethereum en la cadena de bloques de Solana, por un valor de 325 millones de dólares en el momento del incidente. Lo hicieron falsificando una firma válida para una transacción sin proporcionar ninguna garantía.
crema financiera
Los piratas informáticos desviaron alrededor de $ 130 millones en tokens de Ethereum al explotar un error en el contrato de préstamo flash de Cream Finance. La tecnología Cream Oracle y su método para calcular los precios de los activos tienen importantes limitaciones.
cómo reducir el uso de la CPU de Chrome
El atacante aprovechó las limitaciones en los cálculos de precios realizados por los contratos inteligentes utilizados por la plataforma de CREAM Finance y cambió el precio del grupo de yUSD utilizado como garantía, lo que provocó que una acción de 1 yUSD se convirtiera en .
Como resultado, el depósito original del atacante de 00 millones en yUSD, según Cream Finance, se duplicó. Luego, el pirata informático convirtió su depósito de yUSD en Cream Finance en $ 3 mil millones y usó la ganancia de $ 1 mil millones para drenar la liquidez total del proyecto.
Finanzas inversas
Primero, el atacante retiró 901 ETH de Tornado Cash, un mezclador de Ethereum. Luego, el atacante usó los fondos de liquidez INV/WETH e INV/DOLA de SushiSwap para cambiarlos por INV. Posteriormente, inflaron el precio de INV utilizando ambos grupos registrados por el oráculo de precios Keep3r, que monitoreó el precio de INV. Esto permitió al atacante inflar el precio de INV en Inverse Finance y desviar un préstamo respaldado por INV de USD 15,6 millones en ETH, WBTC, YFI y DOLA.
La importancia de una auditoría de seguridad de contrato inteligente
Un contrato inteligente vulnerable refleja más que un intento de programación defectuoso. Puede empañar la imagen de un desarrollador y arruinar proyectos que tardaron meses o años en lanzarse. Como resultado, la auditoría de contratos inteligentes es ahora una de los pasos de desarrollo que toman los programadores para cada nuevo proyecto. El proceso ofrece los siguientes beneficios sorprendentes:
- Protección mejorada contra piratas informáticos
- Evita costosos errores de código de contrato inteligente
- Productos financieros descentralizados más seguros
- Mayor confianza en el proyecto y en toda la industria.
- Mayor credibilidad en una industria que se está volviendo más competitiva
Esta auditoría de contrato inteligente hace posible la capacidad de los desarrolladores para hacer un trabajo mejor y más duradero, lo que da como resultado productos y aplicaciones más seguros. Además, el informe de auditoría sirve como sello de aprobación de un experto externo para un nuevo proyecto, en el que los inversores y usuarios pueden confiar.
El proceso de auditoría de seguridad de contratos inteligentes
Una auditoría de contrato inteligente sigue un proceso en gran medida estándar entre los proveedores de auditoría. Aunque cada auditor puede adoptar un enfoque algo diferente, el procedimiento estándar es el siguiente:
1. Definir el Alcance de la Auditoría
El proyecto (y su uso previsto) y la arquitectura general definen el contrato inteligente y las especificaciones del proyecto. Una especificación permite que el equipo de auditoría comprenda los objetivos del proyecto al escribir y ejecutar el código.
La especificación del contrato inteligente y otra documentación relacionada proporcionan descripciones detalladas de la arquitectura del proyecto, el proceso de construcción y las decisiones de diseño. Por lo general, el archivo LÉAME del proyecto contiene una descripción de la especificación.
2. Pruebas unitarias
Aquí, la responsabilidad del desarrollador es escribir casos de prueba de unidad. Mientras ejecuta pruebas unitarias, el auditor verifica si el contrato inteligente funciona según lo previsto. En este punto, los auditores de contratos inteligentes emplean redes de prueba y herramientas de auditoría para garantizar que las pruebas unitarias cubran todos los riesgos relevantes.
Además, las pruebas brindan a los auditores de contratos inteligentes acceso a documentación no oficial que brinda detalles adicionales sobre la funcionalidad planificada del proyecto.
3. Auditoría Manual
La parte más importante del proceso de auditoría. El auditor revisa cada línea del código en busca de errores.
4. Auditoría automatizada
Después de la auditoría manual, el auditor realiza una auditoría detallada del código utilizando herramientas de auditoría como Slither, Scribble, Mythril y MythX. Los auditores recomiendan una auditoría de contrato inteligente basada en las vulnerabilidades identificadas y la optimización del código.
5. Informe inicial
El auditor hace un borrador inicial del informe, incluidos los errores que encontró, y luego lo envía al equipo de desarrollo del proyecto para recibir comentarios y correcciones relevantes.
6. Informe Final
La etapa final en el proceso de auditoría de contratos inteligentes es la redacción final de un informe de auditoría. Los auditores deben completar las pruebas y los procesos de análisis manuales y automáticos antes de producir un informe de auditoría detallado. Publican el informe final después de tener en cuenta los pasos que tomó el equipo para resolver los problemas informados.
Pruebas de penetración para contratos inteligentes
Al realizar pruebas de penetración, puede evitar catástrofes relacionadas con la seguridad cibernética que podrían dañar la reputación de su empresa y resultar en una gran pérdida financiera. La explotación efectiva de las vulnerabilidades de los contratos inteligentes permitirá tanto la detección de vulnerabilidades de seguridad graves como la identificación de posibles puntos de entrada a los sistemas de información.
Puede realizar una prueba de penetración de contrato inteligente de tres maneras.
Prueba de caja negra
En pruebas de caja negra , un probador de penetración que prueba un contrato inteligente en una 'caja negra' lo hace sin saber cómo funciona internamente. Un probador ingresa datos y monitorea la salida generada por el contrato inteligente que se somete a la prueba. Esto permite identificar el tiempo de respuesta del contrato inteligente, los problemas de usabilidad y confiabilidad, y cómo responde el contrato a las actividades inesperadas y esperadas del usuario.
Prueba de caja gris
La prueba de caja gris es un método de prueba de contrato inteligente que se utiliza para probar un contrato inteligente mientras solo se conoce una parte de su estructura interna. Las pruebas de caja gris buscan y señalan las vulnerabilidades causadas por una estructura o uso deficiente del código de contrato inteligente.
Prueba de caja blanca
Pruebas de caja blanca analiza las estructuras internas de un contrato inteligente contra la prueba de la funcionalidad de un contrato inteligente. También se conoce como prueba de caja transparente, prueba de caja transparente, prueba de caja de vidrio y prueba estructural.
El propósito de esta prueba es analizar todo el sistema a fondo. Determina el alcance y la capacidad de daño de un grupo atacante.
Las auditorías de seguridad de contratos inteligentes son vitales para los proyectos DeFi y NFT
En conclusión, varios proyectos de alto perfil que han perdido fondos han servido como ejemplo y han hecho que todos sean conscientes de la necesidad urgente de una buena auditoría de contratos inteligentes. Sin embargo, incluso si realiza una auditoría de contrato inteligente, no hay garantía de que el contrato inteligente siempre sea inmune a los ataques.