Mientras la fe en las auditorías se tambalea, la comunidad DeFi opina sobre alternativas de seguridad
A medida que los ataques lanzados contra los populares protocolos de finanzas descentralizadas (DeFi) se vuelven cada vez más complejos, la eficacia de las auditorías de las principales empresas de seguridad se ha puesto a su vez en tela de juicio, y algunos miembros de la comunidad DeFi ya han empezado a construir alternativas por mano propia.
“Creo actualmente, después de todos los hackeos que hemos tenido, básicamente entendemos que si tienes dos auditorías, tres auditorías, no significa que estés a salvo”, dijo el cofundador de DeFi Italia Emiliano Bonassi en una entrevista con Cointelegraph. “Esto no significa que las auditorías no tengan valor en este momento, pero no una solución”.
Esta nueva realidad es la que empujó a Bonassi a crear ReviewsDAO. Un foro simple para poner en contacto a expertos en seguridad y proyectos que buscan un par de ojos adicionales, en los tres días transcurridos desde su lanzamiento ReviewsDAO ya ha atraído a cuatro auditores voluntarios (incluido Bonassi), y ha emparejado a dos auditores con un proyecto.
El pellejo es una de las reglas implícitas de https://t.co/5y4MBhvNB7
El anonimato está permitido y protegido pero poner la cara (virtual o no) es una muestra de confianza
Yo me apunto, ofreciendo mi tiempo y mi cara para realizar revisiones https://t.co/CoVRSThymG
¡No seas tímido, ayuda a la comunidad! pic.twitter.com/uq0KtV2pCV
— Emiliano Bonassi | emiliano.eth (@emilianobonassi) February 15, 2021
El pellejo en juego es una de las reglas implícitas de ReviewsDAO
El anonimato está permitido y protegido pero poner la cara (virtual o no) es una muestra de confianza
Yo me apunto, ofreciendo mi tiempo y mi cara para realizar revisiones https://t.co/CoVRSThymG
¡No seas tímido, ayuda a la comunidad!
Bonassi y ReviewsDAO tampoco están solos en sus cruzada. Code 423n4 es otro proyecto que pretende poner en marcha un movimiento de seguridad dentro del ecosistema, aprovechando un giro experimental y gamificado de las recompensas por errores. Del mismo modo, Immunefi, otra plataforma de recompensas de DeFi que se lanzó en diciembre del año pasado, está revisando el modelo de divulgación de la seguridad al proponer como recompensa más del 10% de los fondos vulnerables.
El modelo de Immunefi, en particular, ya ha causado revuelo, ya que otorgó una recompensa de USD 1.5 millones a un hacker de sombrero blanco.
Tres nuevos proyectos que surgen en sólo dos meses, y cada uno con su propio modelo de incentivos: es un esfuerzo de todo el sector que Stani Kulechov, fundador de la plataforma de préstamos DeFi, Aave, cree que será clave para la salud y la seguridad del espacio en el futuro.
“Los auditores no están para garantizar la seguridad de un protocolo, simplemente ayudan a detectar algo de lo que el propio equipo no era consciente. Al final se trata de una revisión por pares y tenemos que encontrar como comunidad incentivos para potenciar a más expertos en seguridad en este espacio”.
“No hay balas de plata”
Bonassi debería ser un nombre familiar para cualquiera que se haya mantenido al tanto de la reciente oleada de exploits. El desarrollador italiano forma parte de la media docena de hackers de sombrero blanco que se reúnen con frecuencia tras un ataque para intentar replicar el exploit y ayudar a los proyectos a parchear dichas vulnerabilidades.
Preguntale a cualquier fundador de DeFi sobre Bonassi y sus compañeros de sombrero blando de la “sala de guerra” después de un exploit, y se apresurarán a mostrar su respeto.
“La comunidad de DeFi tiene la suerte de contar con sombreros blancos como Samczsun y Emiliano. Sus esfuerzos […] hacen que el espacio no solo sea más seguro, sino que también ponen de manifiesto que hay mucha gente dentro de nuestro ecosistema que se preocupa por el éxito del espacio”, dijo Kulechov.
Aunque la capacidad de respuesta de los sombrero blanco es muy apreciada, ReviewsDAO es en cierto modo un esfuerzo por reducir la frecuencia con la que los proyectos los necesitan.
Según la opinión de Bonassi, la tensión entre las necesidades de los proyectos y los limitados recursos de las empresas de auditoría está debilitando la seguridad del espacio Defi en general: los auditores están siempre ocupados, pero los equipos en plena carrera de la innovación DeFi necesitan seguir siendo ágiles. Mientras que un proyecto puede querer una auditoría sobre unos pocos cambios pequeños, la disponibilidad y los costes a menudo requieren un pedido más grande, lo que lleva al “chunking” (fragmentación) del código.
“Como no están disponibles, normalmente preparas un montón de cosas que quieres que sean revisadas y se las envías. La interacción es realmente, digamos, ‘instantánea’, en lugar de tener una colaboración continua”, dijo Bonassi.
Entonces, ¿cómo permitir revisiones de seguridad más frecuentes que respondan mejor a las necesidades de los proyectos? Bonassi dice que inicialmente consideró como solución una subvención de Gitcoin para un grupo de sombreros blancos, pero al final determinó que ese modelo estaría demasiado centralizado y no sería capaz de escalar. Ninguno de sus compañeros sombrero blanco tenía idea de cómo resolver el problema, así que optó por lo sencillo.
La guía definitiva sobre cómo escalar las recompensas por errores impulsará la seguridad de DeFi y de los contratos inteligentes, de nuestro CEO @MitchellAmador:
– Los contratos inteligentes son difíciles de proteger
– Las recompensas por errores son incentivos que cambian el juego
– La ampliación de las recompensas por errores protegerá a la comunidadhttps://t.co/szvOn2JQu7— Immunefi (@immunefi) February 18, 2021
La guía definitiva sobre cómo escalar las recompensas por errores impulsará la seguridad de DeFi y de los contratos inteligentes, de nuestro CEO Mitchell Amador:
– Los contratos inteligentes son difíciles de proteger
– Las recompensas por errores son incentivos que cambian el juego
– La ampliación de las recompensas por errores protegerá a la comunidad
“Si no tienes ningún tipo de idea, empieza por lo básico: abre un foro, digamos un ‘mercado’, donde la gente pueda pedir revisiones grandes o pequeñas, y también pueda ofrecer su experiencia”.
No pretende sustituir por completo a las auditorías y a las empresas auditoras, señala Bonassi, y en su lugar prevé que la DAO pueda ayudar a los proyectos más nuevos a prepararse mejor para una auditoría proporcionando una “revisión continua” y una “auditoría líquida”.
Es un modelo que el experto en seguridad Maurelian, de OptimismPBC, considera que deja espacio a las grandes empresas de auditoría, aunque también reconoce que deben existir otras soluciones de seguridad.
“En mi opinión hay un valor real en una auditoría realizada por una empresa de alta calidad, y nada más sirve realmente como ‘alternativa’, pero también creo que hay un problema de exceso de confianza en las auditorías para proporcionar seguridad”, dijo.
Bonassi también cree que ReviewsDAO podría acabar convirtiéndose en una especie de “Universidad” de auditoría, en la que las personas con conocimientos especializados puedan diversificarse en otras áreas y los jóvenes desarrolladores puedan convertirse en auditores de pleno derecho, haciendo balance y reforzando los recursos de desarrollo en todo el ecosistema DeFi.
“Mi objetivo es también guiar a las personas y los proyectos: tener un lugar transparente donde la gente pueda intercambiar información, ayudarnos a entender cuántas personas, quiénes son, básicamente, desde una perspectiva de seguridad lo suficientemente buenas, están presentes en el ecosistema”.
El pellejo en juego
Aunque responde a una clara necesidad del mercado, Bonassi dice que no hay planes actuales de monetización o de un token de ReviewsDAO.
“Creo que iniciativas como esta deben ser bienes comunitarios”, argumenta.
Este esfuerzo por evitar los incentivos de capital es algo más que un simple idealismo. Estos nuevos proyectos de auditoría surgen porque el modelo actual no es totalmente sostenible, dice Bonassi, un modelo que es “transaccional”, lo que significa que los auditores no tienen la misma participación que un socio más comprometido. El resultado es que todo el panorama DeFi (que los auditores deberían resguardar) está sufriendo.
“No son una relación. No es una asociación”, dice Bonassi.
Sin embargo, incluso un bien público suele contar con financiación pública, y es una cuestión abierta si los desarrolladores (que, para empezar, suelen estar sobrecargados de trabajo) estarán dispuestos a donar tiempo a lo que Andre Cronje llama la “tasa Emiliano Bonassi”: sin más recompensa que el reconocimiento.
Bonsai señala que varios de los principales fundadores de un protocolo de DeFi han ofrecido subvenciones, que hasta ahora han sido rechazadas. Se obstina en ver si los desarrolladores están dispuestos a devolver algo al espacio que a menudo les ha dado tanto, incluso cuando hay otras opciones potencialmente más lucrativas disponibles.
“Lo que realmente necesitamos en este ecosistema es más gente que trabaje en él, digamos, alguien puede odiarme pero, menos bifurcaciones si no están añadiendo valor […] No quiero acabar en la era ICO. No quiero volver a 2017”.
La publicación de presentación.
Si quieres participar, únete al discord y dime cómo quieres participar.https://t.co/7AZSlMDKS9https://t.co/3YyPmKqs6I
— Code 423n4 (@code423n4) February 15, 2021
La publicación de presentación.
Si quieres participar, únete al discord y dime cómo quieres participar.
Los primeros resultados del esfuerzo son prometedores. El protocolo de cobertura/seguro Cover ha sido el primer proyecto que ha sido emparejado con un auditor a través de ReviewsDAO.
“Fue genial”, dice Pumpkin, un desarrollador principal de Cover Protocol y Ruler Protocol. “Fui uno de los pocos con los que Emiliano compartió la idea justo antes del lanzamiento. Me encantó de inmediato, ya que es lo que he estado buscando (obtener revisiones de código externas y de forma más fácil y rápida) […] No estoy seguro de lo que saldrá de la revisión, pero el foro ciertamente está funcionando bien como se pretende”.
Maurelian también cree que hay esperanza para el modelo quizás idealista, y que puede ser más transaccional de lo que parece a primera vista.
“Uno recibe lo que da. Así que participar en un proyecto como este es probablemente una buena idea si se piensa estar en el espacio a largo plazo”, dijo.
Aunque algunos desarrolladores donen su tiempo para conseguir favores a futuro, Emiliano se mantiene firme en su visión de que los esfuerzos para asegurar el ecosistema deben provenir de un lugar de altruismo y amor.
“Ese es el ideal que debemos promover. Y como tenemos mucho dinero, y esta industria tiene mucho dinero, se supone que no necesitas recompensas, se supone que lo haces porque amas esta industria. Esto es un llamado a toda la gente que quiere hacer crecer el ecosistema”.
Sigue leyendo: