Con este artículo responderás en 5 minutos las preguntas más comunes que puedas tener sobre las auditorías de smart contracts.
Sin embargo, también fue creado para que puedas responder cualquier pregunta específica que tengas sin necesidad de leerlo todo.
¿Es realmente necesaria?
Una auditoría de smart contracts proporciona un análisis detallado de la seguridad de los smart contracts (contratos inteligentes) de un proyecto.
En la blockchain todas las transacciones son definitivas, por lo tanto, los fondos no se pueden recuperar en caso de robo, y en ocasiones, incluso los desarrolladores más experimentados, cometen errores sin darse cuenta y dejan vulnerabilidades que exponen los fondos a ataques de cibercriminales en la red.
Con grandes cantidades de valor transaccionadas en smart contracts, estos se han convertido en objetivos atractivos para los atacantes en los últimos años. Debido a esto, la necesidad dichas auditorías está experimentado un aumento masivo, ya que estas son el elemento fundamental para salvaguardar los fondos invertidos.
Un ejemplo de ataque a un smart contract, es el hackeo de “the DAO” en la blockchain de Ethereum, el cual tomó aproximadamente 60 millones de dólares en ETH e incluso condujo a realizar un Hard Fork de urgencia en la red.
Adicional a estas ciber amenazas, las auditorías se han vuelto indispensables ya en la actualidad cada vez más inversionistas individuales e institucionales, toman sus decisiones de inversión en proyectos Blockchain, con base en los resultados de las auditorías sobre los smart contracts.
¿De qué se trata una auditoría de smart contracts?
En una auditoría se examina y comenta el código del smart contract de un proyecto. Por lo general, estos contratos están escritos en el lenguaje de programación Solidity y se proporcionan a través de GitHub.
Las auditorías suelen seguir un proceso de cuatro pasos:
Las auditorías de seguridad se realizan utilizando un conjunto de estándares y procedimientos. El proceso de auditoría de contratos inteligentes depende del alcance y el tamaño del proyecto e incluyen dos tipos de pruebas:
Pruebas automatizadas: Se realizan utilizando software especial para identificar entradas y salidas de activos financieros en el proyecto. Estas herramientas permiten que el equipo controle lo que sucede en el funcionamiento del proyecto, lo que facilita que el equipo de auditoría ubique problemas comunes.
Pruebas manuales: Se llevan a cabo cuando las herramientas automatizadas ya no pueden interpretar las intenciones del desarrollador. Un equipo de auditoría analizará todas las especificaciones y luego determinará si todo funciona según lo previsto al revisar el código del programa.
Una vez completada la auditoría, los auditores redactan las fallas del código descubiertas y brindan comentarios al equipo del proyecto para corregirlas. La mayoría de los informes clasifican los problemas por gravedad, como críticos, mayores, menores, etc.
Junto con un resumen ejecutivo, un informe estándar contendrá recomendaciones y un desglose completo de dónde existen errores de codificación. Posteriormente, se le da tiempo al equipo del proyecto para actuar sobre los hallazgos del informe antes de que se publique la versión final del informe.
Una vez corregidos los errores, los auditores publican el informe final, teniendo en cuenta las acciones realizadas por el equipo del proyecto o expertos externos para resolver los problemas que se plantearon.
¿Qué se necesita para solicitar una auditoría?
Entre los detalles técnicos requeridos para solicitar una auditoría de smart contract, se encuentran:
Descripción general del proyecto (el objetivo del smart contract)
Documentación necesaria para comprender el proyecto; casos de uso previstos, la arquitectura y el diseño
Link a código fuente para determinar el costo de la auditoría (normalmente se da acceso a un repositorio de GitHub)
Protocolo usado (ERC, BSC, etc) y lenguaje de programación (Solidity, Cairo, otro)
Fecha de finalización deseada
Finalmente, la colaboración entre el equipo de desarrollo y auditor es esencial para que los auditores puedan obtener una comprensión completa de las funciones del contrato y una explicación de cómo los contratos deben funcionar.
¿Cuánto cuesta una Auditoría?
El costo exacto de una auditoría depende de la cantidad de smart contracts a verificar. Los proveedores de auditoría cobran en promedio entre $5.000 y $15.000 USD, dependiendo de la complejidad del código.
Un proyecto particularmente grande, puede costar fácilmente más de $10.000 USD. La reputación de la firma que realiza la auditoría también afecta el costo final.
¿Pero por qué una auditoría puede ser tan costosa?
En el proceso, un equipo de auditores puede llegar a verificar el código, línea por línea, lo cual es una tarea compleja que requiere mucho tiempo y capacitación especializada y adicionalmente, es realizada por personal en alta demanda.
A pesar de su costo, el proceso de auditoría de contratos inteligentes es esencial para corregir fallas en el código, lo que podría resultar en vulnerabilidades de seguridad y costos mucho mayores en el tiempo, o incluso, el fracaso total del proyecto debido a un ataque cibercriminal en la red.
¿Cuánto tiempo toma hacer una Auditoría?
Según el proyecto, la cantidad de líneas de código y la urgencia, el proceso de auditoría inicial puede tomar entre 2 y 14 días. La auditoría podría demorar hasta un mes para proyectos o protocolos muy grandes.
El cliente recibe recomendaciones de soluciones para implementar después de que se completa la auditoría inicial, y el cliente determina el tiempo que llevará corregir los errores evidenciados. Después de eso, se lleva a cabo una verificación de remediación que generalmente toma un día.
¿Cómo solicitar una auditoría?
Tan solo es necesario responder las 3 preguntas del siguiente formulario para obtener la cotización de auditoría de smart contract que mejor se ajuste a las necesidades de tu proyecto.
https://forms.gle/reZkKuohZ5YsuAvY9
