Descentralizando la ciberseguridad: las auditorías públicas benefician a la web3

Las auditorías de seguridad son vitales, pero sus resultados suelen no ser cuestionados, mientras que una sola revisión no siempre puede detectar todas las vulnerabilidades. Las auditorías públicas, que incentivan a los hackers éticos a verificar nuevamente los resultados de la auditoría a través de incentivos DeFi, podrían aumentar la seguridad de toda la web3, ya que harían que las recompensas por errores sean asequibles incluso para proyectos a pequeña escala.

Por qué las auditorías habituales no son siempre suficientes

Según el informe de seguridad del tercer trimestre de Hacken, la industria web3 perdió asombrosamente $1.8 mil millones en 2024. Casi el 40% de estas pérdidas fueron causadas por problemas prevenibles como vulnerabilidades de contratos inteligentes y ataques de reentrancia. Alarmantemente, el 90% de los proyectos hackeados nunca habían pasado por ninguna auditoría, lo que destaca una supervisión crítica en la seguridad.

Las auditorías de seguridad tradicionales son esenciales, ya que ofrecen revisiones profundas y dirigidas por expertos en puntos críticos en el ciclo de vida de un proyecto, garantizando la seguridad de los fondos de los usuarios. Sin embargo, debido a la naturaleza centralizada de estas auditorías, generalmente no hay oportunidad de cuestionar sus conclusiones, a menos que un proyecto invierta en una segunda auditoría, lo cual es una ocurrencia rara. Esperar que una sola revisión lo atrape todo es irreal, ya que incluso los auditores más diligentes son propensos a errores humanos.

La solución a este problema radica en la ética de descentralización de web3. Los proyectos de Cripto podrían involucrar a una amplia comunidad de hackers éticos para auditorías públicas, brindando así revisiones de seguridad descentralizadas, continuas y dirigidas por la comunidad.

Auditorías de seguridad descentralizadas: Principios y ventajas

El principal problema en el diseño de auditorías descentralizadas es ofrecer fuertes incentivos a los auditores independientes, al mismo tiempo que se asegura de que no representen costos adicionales para los proyectos. Permítanme trazar una posible forma de lograr este equilibrio a través de herramientas DeFi

Imagina la plataforma de seguridad lanzando un pool de recompensas dedicado basado en contratos inteligentes cada vez que tiene un nuevo cliente solicitando una auditoría. La empresa llena este pool con una parte del costo de la auditoría, mientras que sus poseedores de tokens agregan más al apostar los tokens de la plataforma. Después de que la plataforma complete su propia auditoría, investigadores de seguridad independientes se unen al juego y verifican nuevamente el código del cliente. Cuando la auditoría comunitaria está completa, los auditores independientes y los apostadores recogen recompensas del pool.

Así es como funcionan las DualDefense Flash Pools en Hacken. Cada cliente que paga por una auditoría privada recibe una auditoría pública adicional, creando un modelo de seguridad de dos capas. Y en el verdadero espíritu de DeFi, la participación de la comunidad se incentiva con recompensas por staking.

Este enfoque tiene beneficios de gran alcance: la comunidad obtiene un instrumento APY de alto rendimiento real, los auditores dan la bienvenida a las pruebas entre pares de sus hallazgos y los hackers éticos obtienen recompensas por descubrimientos válidos de errores, incluso por encontrar código limpio. Para los proyectos cripto, esto significa una mayor garantía de la seguridad de su código. Para toda la industria web3, ofrece un enfoque factible para aumentar la seguridad y combatir el cibercrimen.

Las auditorías descentralizadas democratizan el acceso a la seguridad para los proyectos web3, especialmente los incipientes. Muchas startups de criptomonedas tienen excelentes MVPs pero a menudo carecen de los recursos para los tradicionales bug bounties, los cuales pueden ser costosos, ya que nadie puede predecir cuántos bugs pueden descubrir los hackers éticos. El modelo que proponemos aborda esto con un fondo de recompensa fijo financiado por la comunidad, lo que hace que la seguridad sea accesible y predecible desde el principio.

Implementar este modelo plantea un riesgo bastante tangible para las empresas auditoras: pone en juego la reputación de la plataforma al permitir que los auditores externos verifiquen su trabajo. De esta manera, sin embargo, la empresa obtiene un incentivo adicional para abordar cada auditoría con aún más cuidado, sabiendo lo público que serán los resultados de su trabajo; en última instancia, esto beneficiaría a toda la industria. Los auditores de contratos inteligentes no deberían retirarse después de una auditoría, es hora de ser audaces y asumir la responsabilidad.

Finalmente, las pools de auditoría pública introducen algo que le falta a   DeFi: recompensas respaldadas por dinero real. Este modelo garantiza que los rendimientos de los usuarios no estén impulsados por emisiones de tokens inflacionarios, lo que a menudo resulta en un crecimiento insostenible y una disminución del valor con el tiempo. En cambio, los usuarios se benefician de la actividad real del mercado, dando un paso hacia modelos financieros más sostenibles en   DeFi.

Combinar auditorías tradicionales con auditorías respaldadas por la comunidad abierta allana el camino para un modelo de seguridad resiliente que se adapta a proyectos de todas las escalas. Las auditorías públicas, respaldadas por incentivos impulsados por DeFi, marcan un paso transformador hacia una cultura de seguridad accesible, robusta y proactiva en web3.

Dyma Budorin

Dyma Budorin es cofundador y CEO de Hacken, el auditor de seguridad de la cadena de bloques líder, co-presidente de EEA DRAMA (un grupo de Evaluación de Riesgos, Gestión y Contabilidad de   DeFi) y coautor de estándares de la industria criptográfica. Después de más de ocho años de experiencia en auditoría en Deloitte, se desempeñó como asesor de auditoría en Ukrspetsexport y subdirector general de estrategia y desarrollo en Ukrinmash (ambas agencias estatales ucranianas). Siendo un entusiasta de las criptomonedas y experto en ciberseguridad, Dyma ha compartido sus puntos de vista en BBC, Wired, Cointelegraph, Coindesk y otros medios de comunicación de renombre. También es Vicepresidente de la Asociación de Cadenas de bloques de Ucrania.