Los contratos inteligentes necesitan estándares para hacer que las transacciones de DeFi en Ethereum sean más seguras
Las finanzas descentralizadas siguen teniendo un gran impacto en el mercado de criptomonedas y, con más de USD 13 mi millones de valor total bloqueado, los proyectos de DeFi están retumbando claramente entre los ansiosos cripto inversores. Sin embargo, aunque el ecosistema DeFi ha estado progresando durante el último año, una serie de proyectos ilegítimos han surgido, recordándonos parte del boom de las ICO en 2017 y su posterior caída.
Por ejemplo, Harvest Finance, uno de los protocolos descentralizados más grandes, fue hackeado recientemente. El atacante robó USD 24 millones de los pools de Harvest Finance. En hechos más recientes, Value DeFi, otro protocolo de DeFi, fue víctima de una vulnerabilidad de préstamos flash por USD 6 millones. Y por supuesto, uno de los eventos más importantes del año para DeFi involucró a SushiSwap, donde su creador vendió USD 13 millones del fondo de desarrollo, causando una caída del mercado.
Es importante señalar que la mayoría de los proyectos de DeFi están construidos en la cadena de bloques de Ethereum. De acuerdo al sitio web DeFiPrime, actualmente existen más de 200 proyectos de DeFi en la red del Ethereum. Sin embargo, si bien Ethereum parece ser la plataforma más adecuada para estos proyectos, las vulnerabilidades de la red han desempeñado un papel importante en hackeos y actividades fraudulentas.
Las transacciones de contratos inteligentes en Ethereum necesitan más seguridad
Específicamente hablando, los contratos inteligentes que impulsan a Ethereum son conocidos por estar plagados de problemas de seguridad que, a su vez, tienen un gran impacto en los proyectos de DeFi. Además, los contratos inteligentes utilizados en los proyectos de DeFi valorados en miles de millones de dólares a menudo no son auditados de antemano.
Tom Lindeman, antiguo investigador de Microsoft y ex director general de Ethereum Trust Alliance, un grupo de empresas blockchain que trabajan en un sistema de seguridad para contratos inteligentes, le dijo a Cointelegraph que actualmente no hay maneras eficientes de identificar si un contrato inteligente es seguro antes de iniciar una transacción:
“El espacio de DeFi vale miles de millones de dólares actualmente, pero muchos de esos contratos inteligentes que se están usando nunca son auditados. Por esta razón, el sector DeFi sigue viendo una oleada de actividad que hace que personas y organizaciones aprueben contratos de tokens, intercambien tokens y añadan liquidez a los pools en rápida sucesión sin poder comprobar fácilmente la seguridad de los contratos”.
En un intento por resolver los problemas de seguridad relacionados con los contratos inteligentes, Lindeman se unió al recién formado “EthTrust Security Levels Working Group” de la Enterprise Ethereum Alliance como su copresidente. Según Lindeman, la misión del grupo de trabajo será continuar con los avances iniciados inicialmente por la Ethereum Trust Alliance, o ETA, que tienen como objetivo establecer estándares para transacciones de contratos inteligentes más seguras en la cadena de bloques de Ethereum.
Un sistema de registro para contratos inteligentes calificados
Lindeman explicó que la ETA ha estado trabajando en su proyecto EthTrust durante casi un año, incluso antes de que el ecosistema DeFi empezara a exponer las vulnerabilidades de los contratos inteligentes de Ethereum. Coincidentemente, el proyecto EthTrust unió fuerzas con la Enterprise Ethereum Alliance justo cuando el ecosistema DeFi comenzó a captar la atención de los inversores.
Daniel Burnett, director ejecutivo de la Enterprise Ethereum Alliance, le dijo a Cointelegraph que el momento en que se creó el nuevo grupo de trabajo fue una mera coincidencia en lo que respecta al boom de DeFi. Según Burnett, el nuevo proyecto EthTrust demuestra aún más que la red Ethereum está madurando. “Queremos ayudar a resolver los problemas que muchos de nuestros miembros han expresado en relación a Ethereum”, dijo.
Específicamente, el nuevo grupo de trabajo tiene previsto abordar las vulnerabilidades de seguridad de los contratos inteligentes mediante la creación de un estándar y un sistema de registro para ayudar a los usuarios a adquirir más conciencia sobre cómo diferenciar qué contratos han sido sometidos a rigurosos controles de seguridad. Si bien el proyecto todavía es un trabajo en curso, el objetivo es definir ciertos requisitos que los contratos inteligentes deben exhibir para ser considerados seguros.
Por ejemplo, Pierre-Alain Mouy, miembro de la Enterprise Ethereum Alliance, antiguo propietario de productos de la ETA y director gerente de NVISO Security en Alemania, le dijo a Cointelegraph que existen tres niveles de validación que un contrato inteligente puede lograr para ayudar a las personas a comprender su nivel de confianza:
“Arrancamos el proyecto incluyendo tres niveles diferentes de insignias que los contratos inteligentes pueden ganar para demostrar su nivel de confianza. El nivel uno consiste en un contrato inteligente que se somete a un trabajo a través de la automatización. Los niveles dos y tres son auditorías manuales realizadas por humanos para asegurar que los contratos son seguros”.
Mouy compartió que para que un contrato inteligente consiga una insignia de nivel uno, una herramienta de escaneo de seguridad automatizada se ejecutará contra el contrato. La herramienta impulsada por Inteligencia Artificial está diseñada para comprobar un conjunto específico de requisitos que el grupo de trabajo está definiendo actualmente.
Si un contrato inteligente avanza al nivel dos, expertos realizarán una auditoría de seguridad. “Habrá definiciones para las empresas de auditoría, explicando cuánto tiempo necesitan para analizar estos contratos inteligentes”, dijo Mouy, añadiendo: “Eventualmente, se creará un informe de auditoría para que el grupo de trabajo lo revise manualmente. Sin embargo, no somos auditores. El grupo de trabajo sirve como un enrutador para verificar que estos pasos se lleven a cabo”.
Por último, si un contrato inteligente alcanza el nivel tres, se realizarán especificaciones adicionales y casos de prueba escritos para verificar las propiedades del contrato. De acuerdo a Mouy, esto se llama “proceso de verificación formal”.
Una vez que un contrato inteligente se haya sometido a este proceso de verificación paso a paso, el sistema de registro de la iniciativa permitirá a los exchanges, por ejemplo, solicitar un nivel de calificación específico antes de incluir nuevos tokens. Este sistema también podría aplicarse a un consorcio de varios miembros que se basa en contratos inteligentes para fines comerciales.
El creciente interés por contratos inteligentes más seguros
Según Lindeman, el proyecto EthTrust ya ha despertado el interés de los usuarios de Ethereum que anhelan ver cosas nuevas, como el yield farming. Compartió además que la firma de las Big Four, PricewaterhouseCoopers, ha expresado su interés en utilizar este sistema para proporcionar clasificaciones de contratos inteligentes para las empresas interesadas en el espacio blockchain.
El creciente interés por contratos inteligentes más seguros es especialmente importante mientras que la infraestructura de Ethereum progresa y las ventajas prometidas de Ethereum 2.0 se materializan. Burnett cree que el ecosistema de Ethereum verá una mayor confianza en el futuro, que se manifestará en nuevos proyectos que serán utilizados por empresas, como el trabajo que está haciendo el Baseline Protocol.
Si bien es algo innovador, vale la pena señalar que el nuevo grupo de trabajo de la Enterprise Ethereum Alliance y el proyecto EthTrust no son los primeros en abordar los problemas relacionados con la seguridad de los contratos inteligentes. Por ejemplo, la empresa de seguridad blockchain, Quantstamp, ha estado realizando auditorías de contratos inteligentes y controles de seguridad para empresas blockchain desde el 2017. Los clientes de la empresa incluyen a los principales actores en el espacio como Binance y eToro. Quantstamp recientemente anunció que auditará un nuevo proyecto de DeFi basado en la cadena de bloques de Polkadot.
Además de las empresas de seguridad que realizan auditorías, las empresas también están encontrando formas de garantizar contratos inteligentes más seguros. Por ejemplo, Vaiot una empresa blockchain que utiliza la Inteligencia Artificial para crear servicios digitales para empresas, aprovecha la IA para proporcionar seguridad de software y rendimiento en los contratos inteligentes. Jakub Kobeldys, el principal desarrollador de Vaiot, le dijo a Cointelegraph que, si bien ninguna cantidad de IA puede proteger completamente contra las fallas del código, la tecnología puede ayudar significativamente a los desarrolladores:
“Las técnicas de aprendizaje no supervisadas podrían rastrear nuevas fallas de manera automatizada, o al menos reducir el área de búsqueda y dar algunas pistas a los expertos humanos. También podría conducir al desarrollo más dinámico de marcos que ayuden a los desarrolladores a codificar de forma segura”.
Sigue leyendo: