Los piratas informáticos robaron más criptomonedas de las plataformas de finanzas descentralizadas (DeFi) que nunca antes en 2022. Casi el 98% de todos los tokens lanzados en el líder de DeFi, DEX Uniswap, se identificaron como tiradas de alfombra.
El último, Defrost Finance, llegó como una pesadilla navideña para los criptoinversionistas, acabando con $12 millones de su dinero.
La mayoría de los ataques a las plataformas DeFi ocurren a través de brechas de seguridad y vulnerabilidades de código. Los proyectos que terminan siendo estafas tienen serios problemas de seguridad que se han dejado pasar, o tal vez, sin ser detectados a propósito. Para evitar riesgos similares, las auditorías de seguridad de DeFi son fundamentales.
Aquí descubriremos más sobre estas auditorías, cómo se llevan a cabo y si es posible realizar una auditoría DeFi usted mismo.
¿Qué es una auditoría de seguridad DeFi?
Los proyectos DeFi se implementan como contratos inteligentes complejos y autoejecutables, a menudo transparentes y de código abierto. Actúan como acuerdos legales entre dos partes. Y dado que no hay ninguna entidad centralizada detrás de ellos, incluso un pequeño error en los contratos inteligentes podría tener consecuencias irreversibles.
Esto significa que no debería haber lugar para errores en los contratos inteligentes. Las auditorías de seguridad de contratos inteligentes de DeFi están destinadas a garantizar eso.
Las auditorías de seguridad examinan el código de los contratos inteligentes y cómo fundamenta los términos y condiciones de los contratos. El análisis detallado busca posibles fallas de seguridad, violaciones y errores del sistema en el código, por lo que no puede explotarse.
Las auditorías de seguridad, generalmente realizadas por terceros, son vitales para garantizar la seguridad y credibilidad de los proyectos y mantener un ecosistema DeFi saludable.
¿Cómo aprovechan los estafadores los contratos inteligentes para atraer la atención?
Un rug pull es un tipo de estafa de salida que opera en un modelo simple: los desarrolladores crean un protocolo DeFi que parece legítimo, lo ejecutan y lo promueven hasta que el proyecto atrae suficiente liquidez, luego retiran los fondos y desaparecen.
Bueno, no siempre. En ocasiones, los estafadores culpan a los piratas informáticos por robar liquidez y permanecen en el negocio hasta la próxima vez.
Para implementar un ataque, los estafadores incorporan código malicioso en los contratos inteligentes. Los modifican para evitar que los inversores vendan: establecen la tarifa de venta máxima (100 %), ponen en lista negra a los propietarios de fichas y bloquean el dinero de los usuarios en un contrato.
Algunos contratos inteligentes implican codificar una "puerta trasera" maliciosa en ellos, lo que permite a los desarrolladores retirar la liquidez.
La mayoría de las veces, los contratos inteligentes modificados no son verificados por los auditores de seguridad y están ocultos a la vista del público. Dado que la mayoría de los contratos en cadena están disponibles públicamente, la falta de transparencia en GitHub podría ser una bandera roja.
Cómo comprobar si un contrato inteligente DeFi es seguro
La industria de la cadena de bloques y los contratos inteligentes aún es relativamente joven, al igual que el sector de auditoría de contratos inteligentes. Numerosas empresas se especializan en auditorías de seguridad de contratos inteligentes, desarrollan sus herramientas y dan forma a sus conocimientos.
Los estándares y mejores prácticas de la industria de seguridad de contratos inteligentes están evolucionando. A pesar de eso, los actores de la industria de auditoría DeFi utilizan algunos métodos de auditoría bastante estándar.
Por lo general, sus investigaciones comienzan con la evaluación del contrato inteligente. El auditor analiza el documento técnico, la lógica comercial y las especificaciones técnicas del protocolo DeFi para estimar los riesgos potenciales y las características de seguridad.
Luego, centran su atención en el código del contrato inteligente. Aquí es cuando comienza la revisión y el análisis del código.
Los auditores inspeccionan el código línea por línea, buscando vulnerabilidades de diferentes niveles: críticas que pueden resultar en una fuga de liquidez; nivel medio, que podría dañar parcialmente el contrato inteligente; y cuestiones de bajo nivel, que son las que menos afectan a la seguridad del contrato.
Implementan una serie de técnicas de auditoría, incluido el análisis automático y manual. Ambos tienen pros y contras.
Una auditoría de seguridad automatizada significa escanear el código con un software de análisis automatizado, que busca errores en la base de datos de vulnerabilidades conocidas e identifica su ubicación precisa en el código.
La auditoría basada en software generalmente se realiza antes del análisis manual para detectar errores que los humanos podrían pasar por alto. Es más rápido y requiere menos tiempo, pero al mismo tiempo, es posible que no siempre sea consciente del contexto y, por lo tanto, pase por alto ciertas vulnerabilidades.
El análisis de código manual es el rey en la auditoría de contratos inteligentes y es la parte más crítica de una auditoría de seguridad de código inteligente integral y precisa. Lo llevan a cabo al menos dos expertos distintos que inspeccionan el código línea por línea.
El objetivo es verificar que cada detalle en la especificación del proyecto se implemente en el contrato inteligente y que nada viole el comportamiento originalmente previsto.
Los auditores examinan el código en busca de comportamientos no deseados e inesperados, problemas de seguridad cruciales y vulnerabilidades como reingreso, manipulaciones de datos, préstamos rápidos y otras manipulaciones que podrían implementarse mientras el contrato inteligente interactúa con otros.
Además de eso, las auditorías manuales ejecutan simulaciones para evaluar qué tan bien responde el contrato inteligente del proyecto DeFi a amenazas no identificadas y qué tan capaz es de defenderse contra ellas.
Dentro de la parte final del análisis de código manual, el auditor compara la lógica del contrato inteligente con su descripción en el documento técnico del proyecto.
Una vez que se han identificado y corregido todas las vulnerabilidades, los auditores ejecutan un proceso de verificación doble para garantizar que el código inteligente funcione como se esperaba.
Finalmente, una vez finalizada la auditoría de seguridad, los auditores preparan un informe completo. Aquí es donde proporcionan comentarios detallados sobre lo que descubrieron. Por lo general, su informe viene con recomendaciones sobre cómo se pueden corregir las debilidades del código detectadas para mitigar la seguridad del proyecto.
¿Qué garantiza que una auditoría de contrato inteligente sea profesional?
Los contratos inteligentes son una innovación relativamente nueva. Sus estándares de seguridad están evolucionando en consecuencia. Esto significa que ninguna regla de oro garantiza la seguridad total de los contratos inteligentes.
Además, no todas las empresas de auditoría de contratos inteligentes son iguales, y no todas las auditorías garantizan la seguridad. Los auditores pueden tener diferentes niveles de habilidad, diferentes objetivos y diferentes costos.
Sin mencionar el hecho de que el mercado está lleno de desarrolladores dudosos que falsifican auditorías y aún así se benefician del nombre de una empresa respetable. Esto es lo que le sucedió a Peckshield, una empresa de análisis de datos y seguridad blockchain, hace más de un año.
Situaciones como esta son bastante comunes en el espacio de las criptomonedas. Toman el nombre de un auditor legítimo y respetable y lo ponen en su documento técnico, diciendo que su protocolo fue auditado.
La única forma de evitar casos como este es comprobar la confirmación en los canales originales del auditor. Si no hay ninguno, es probable que hayan robado el nombre del auditor.
Siempre revise su cartera de clientes para evaluar si el auditor es sólido y tiene buena reputación. Busque en Google los casos para verificar sus registros de experiencia y verifique si alguno de los proyectos auditados ha sufrido un tirón u otros ataques.
¿Puede realizar una auditoría del código usted mismo?
Con tantos hacks y obstáculos en el espacio criptográfico, es ingenuo imaginar que los proyectos DeFi son seguros sin analizarlos con más detalle. Las auditorías de contratos inteligentes proporcionan una capa crítica de seguridad.
Sin embargo, incluso los más profesionales no garantizan que un proyecto DeFi esté absolutamente libre de errores. Los contratos inteligentes son complejos. Requieren un análisis detallado y completo, experiencia, herramientas y, lo más importante, más de un par de ojos.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://dailycoin.com/how-auditors-detect-defi-rug-pull-scam/
- 11
- 2022
- a
- Sobre
- absolutamente
- en consecuencia
- preciso
- Actúe
- adición
- afectar
- Después
- en contra
- acuerdos
- Todos
- permite
- hacerlo
- análisis
- Analytics
- análisis
- y
- atacar
- ataques
- Atrae
- auditoría
- auditado
- auditoría
- firmas auditoras
- los auditores
- auditorías
- Confirmación de Viaje
- Hoy Disponibles
- antes
- detrás de
- "Ser"
- es el beneficio
- MEJOR
- y las mejores prácticas
- entre
- blockchain
- Blockchain security
- infracciones
- Error
- loco
- no puede
- capaz
- cases
- centralizado
- a ciertos
- posibilidades
- canales
- comprobar
- Navidad
- cliente
- código
- Revisión de código
- Codificación
- Algunos
- compañía
- Completado
- integraciones
- exhaustivo
- condiciones
- Conducir
- Desventajas
- Consecuencias
- contexto
- contrato
- contratos
- Precio
- podría
- Para crear
- Credibilidad
- crítico
- crucial
- cripto
- Inversores Crypto
- espacio criptográfico
- criptomoneda
- datos
- Data Analytics
- Base de datos
- Descentralizado
- Finanzas descentralizadas
- finanzas descentralizadas (DeFi)
- La defensa de
- DeFi
- plataformas defi
- proyectos defi
- PROTOCOLO DEFI
- Seguridad DeFi
- desplegar
- descripción
- A pesar de las
- detalle
- detallado
- detectado
- desarrollar
- desarrolladores
- Dex
- una experiencia diferente
- desaparecer
- descubierto CRISPR
- ecosistema
- suficientes
- garantizar
- asegura
- asegurando que
- entidad
- Errores
- estimación
- evaluar
- evaluación
- Incluso
- NUNCA
- evolución
- Exit
- estafa de salida
- esperado
- experience
- Experiencia
- expertos
- Explotar
- Explotado
- exploits
- externo
- ojos
- Ojos
- más rápida
- Caracteristicas
- cuota
- realimentación
- final
- financiar
- Encuentre
- empresas
- fijas
- Flash
- préstamos flash
- defectos
- en
- ser completados
- fondos
- objetivo
- Goals
- Dorado
- garantizamos
- garantías
- los piratas informáticos
- hacks
- suceder
- pasó
- saludable
- Oculto
- Cómo
- HTTPS
- Humanos
- no haber aun identificado una solucion para el problema
- identifica
- implementar
- implementado
- in
- Incluye
- energético
- estándares de la industria
- Innovation
- interactúa
- Investigaciones
- Inversionistas
- involucrar
- cuestiones
- IT
- sí mismo
- King
- conocido
- Falta
- más reciente
- lanzado
- .
- Lead
- fuga
- Legal
- Legit
- línea
- Liquidez
- Préstamos
- Ubicación
- mirando
- manual
- muchos
- Mercado
- max
- significa
- métodos
- podría
- millones
- Mitigar las
- modelo
- modificado
- dinero
- más,
- MEJOR DE TU
- nombre
- hace casi
- Nuevo
- Next
- número
- numeroso
- En cadena
- ONE
- de código abierto
- opera
- reconocida por
- originalmente
- Otro
- Otros
- los propietarios de
- parte
- partes
- peckshield
- Plataformas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- players
- portafolio
- posible
- posible
- prácticas
- Preparar
- bastante
- evitar
- Profesional
- proyecto
- proyecta
- promover
- PROS
- protocolo
- proporcionar
- público
- en público
- Tira
- propósito
- poner
- recomendaciones
- archivos
- Rojo
- relativamente
- reporte
- acreditado
- exigir
- respetable
- resultado
- una estrategia SEO para aparecer en las búsquedas de Google.
- riesgos
- Conferencia
- tirar de la alfombra
- estafas de jalar alfombras
- tira de alfombra
- Regla
- Ejecutar
- ambiente seguro
- Safety
- mismo
- Estafa
- Los estafadores
- estafas
- exploración
- sector
- EN LINEA
- Auditoría de la seguridad
- Security audits
- brechas de seguridad
- vender
- grave
- set
- Forma
- Turno
- tienes
- similares
- sencillos
- desde
- habilidad
- diapositiva
- chica
- inteligente
- contrato inteligente
- Auditoría inteligente de contratos
- Smart Contract Security
- Contratos Inteligentes
- So
- Software
- sólido
- algo
- Espacio
- especializarse
- especificación
- estándar
- estándares de salud
- comienzo
- quedarse
- Sin embargo
- estola
- robada
- te
- ¡Prepárate!
- Técnico
- técnicas
- términos
- Términos y Condiciones
- El
- su
- Código
- tercero
- amenazas
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- prolongado
- a
- ficha
- Tokens
- Total
- Transparencia
- transparente
- típicamente
- Inesperado
- Uniswap
- generalmente
- verificadas
- verificar
- Violaciónes
- vital
- Vulnerabilidades
- ¿
- sean
- que
- mientras
- Blackpaper
- limpieza
- retirar
- sin
- año
- Usted
- joven
- a ti mismo
- zephyrnet
