Auditoría de smart contracts, top de preguntas frecuentes
Índice de contenidos
Auditoría de smart contracts
Con este artículo responderás en 5 minutos, las preguntas más comunes que puedas tener sobre la auditoría de smart contracts.
Sin embargo, también fue creado para que puedas responder cualquier pregunta específica que tengas, sin necesidad de leerlo todo.
- ¿Es realmente necesaria una auditoría de smart contracts?
- ¿Qué se hace realmente en una auditoría de smart contracts?
- ¿Qué se necesita para solicitar una auditoría?
- ¿Cuánto cuesta una auditoría?
- ¿Cuánto tiempo toma hacer una auditoría?
- ¿Cómo solicitar una auditoría?
Top de preguntas más frecuentes
¿Es realmente necesaria una auditoría de smart contracts?
Una auditoría de smart contracts proporciona un análisis detallado de la seguridad de los smart contracts (contratos inteligentes) de un proyecto.
En la blockchain todas las transacciones son definitivas, por lo tanto, los fondos no se pueden recuperar en caso de robo, y en ocasiones, incluso los desarrolladores más experimentados, cometen errores sin darse cuenta y dejan vulnerabilidades que exponen los fondos a ataques de cibercriminales en la red.
¿Para qué sirve una Auditoría de smart contracts?
Con grandes cantidades de valor transaccionadas en smart contracts, estos se han convertido en objetivos atractivos para los atacantes en los últimos años. Debido a esto, la necesidad dichas auditorías está experimentado un aumento masivo, ya que estas son el elemento fundamental para salvaguardar los fondos invertidos.
Un ejemplo de ataque a un smart contract, es el hackeo de “the DAO” en la blockchain de Ethereum, el cual tomó aproximadamente 60 millones de dólares en ETH e incluso condujo a realizar un Hard Fork de urgencia en la red.
Adicional a estas ciber amenazas, las auditorías se han vuelto indispensables ya en la actualidad cada vez más inversionistas individuales e institucionales, toman sus decisiones de inversión en proyectos Blockchain, con base en los resultados de las auditorías sobre los smart contracts.
¿Qué se hace realmente en una auditoría de smart contracts?
En una auditoría se examina y comenta el código del smart contract de un proyecto. Las auditorías suelen seguir un proceso de cuatro pasos:
- Los smart contracts se proporcionan al equipo de auditoría para el análisis inicial.
- El equipo de auditoría presenta sus hallazgos al equipo del proyecto para que actúen en consecuencia.
- El equipo del proyecto realiza cambios en función de los problemas encontrados.
- El equipo de auditoría emite su informe final, considerando cualquier cambio nuevo o errores pendientes.
Las auditorías de seguridad se realizan utilizando un conjunto de estándares y procedimientos. El proceso de auditoría de contratos inteligentes depende del alcance y el tamaño del proyecto.
Tipos de pruebas que se realizan
- Pruebas automatizadas: Se realizan utilizando software especial para identificar entradas y salidas de activos financieros en el proyecto. Estas herramientas permiten que el equipo controle lo que sucede en el funcionamiento del proyecto, lo que facilita que el equipo de auditoría ubique problemas comunes.
- Pruebas manuales: Se llevan a cabo cuando las herramientas automatizadas ya no pueden interpretar las intenciones del desarrollador. Un equipo de auditoría analizará todas las especificaciones, y luego determinará si todo funciona según lo previsto al revisar el código del programa.
Una vez completada la auditoría, los auditores redactan las fallas del código descubiertas y brindan comentarios al equipo del proyecto para corregirlas. La mayoría de los informes clasifican los problemas por gravedad, como críticos, mayores, menores, etc.
Junto con un resumen ejecutivo, un informe estándar contendrá recomendaciones y un desglose completo de dónde existen errores de codificación. Posteriormente, se le da tiempo al equipo del proyecto para actuar sobre los hallazgos del informe antes de que se publique la versión final del informe.
Una vez corregidos los errores, los auditores publican el informe final, teniendo en cuenta las acciones realizadas por el equipo del proyecto o expertos externos para resolver los problemas que se plantearon.
¿Qué se necesita para solicitar una auditoría de smart contracts?
Entre los detalles técnicos requeridos para solicitar una auditoría de smart contract, se encuentran:
- Descripción general del proyecto (el objetivo del smart contract)
- Documentación necesaria para comprender el proyecto; casos de uso previstos, la arquitectura y el diseño
- Link a código fuente para determinar el costo de la auditoría (normalmente se da acceso a un repositorio de GitHub)
- Protocolo usado (ERC, BSC, etc) y lenguaje de programación (Solidity, Cairo, otro)
- Fecha de finalización deseada
Finalmente, la colaboración entre el equipo de desarrollo y auditor es esencial para que los auditores puedan obtener una comprensión completa de las funciones del contrato y una explicación de cómo los contratos deben funcionar.
¿Cuánto cuesta una auditoría?
El costo exacto de una auditoría depende de la cantidad de smart contracts a verificar. Los proveedores de auditoría cobran en promedio entre $5.000 y $15.000 USD, dependiendo de la complejidad del código.
Un proyecto particularmente grande, puede costar fácilmente más de $10.000 USD. La reputación de la firma que realiza la auditoría también afecta el costo final.
¿Pero por qué una auditoría puede ser tan costosa?
En el proceso, un equipo de auditores puede llegar a verificar el código, línea por línea. Lo cual es una tarea compleja que requiere mucho tiempo y capacitación especializada y adicionalmente, es realizada por personal en alta demanda.
A pesar de su costo, el proceso de auditoría de contratos inteligentes es esencial para corregir fallas en el código, lo que podría resultar en vulnerabilidades de seguridad y costos mucho mayores en el tiempo, o incluso, el fracaso total del proyecto debido a un ataque cibercriminal en la red.
¿Cuánto tiempo toma hacer una auditoría?
Según el proyecto, la cantidad de líneas de código y la urgencia, el proceso de auditoría inicial puede tomar entre 2 y 14 días. La auditoría podría demorar hasta un mes para proyectos o protocolos muy grandes.
El cliente recibe recomendaciones de soluciones para implementar después de que se completa la auditoría inicial, y el cliente determina el tiempo que llevará corregir los errores evidenciados. Después de eso, se lleva a cabo una verificación de remediación que generalmente toma un día.
¿Cómo solicitar una auditoría de smart contracts?
Tan solo es necesario responder las 3 preguntas del siguiente formulario, para obtener la cotización de auditoría de smart contract que mejor se ajuste a las necesidades de tu proyecto.
https://forms.gle/reZkKuohZ5YsuAvY9
¿Quieres organizar una Hackathon?
Te invitamos a conocer nuestra plataforma de Hackathons
Acá puedes ver lo que p4s.co hace por ti
Si quieres ser parte de nuestra red de emprendimiento para usar nuestras herramientas y hacer networking, te invitamos a regístrarte ya mismo. Al ingresar podrás empezar a crear tus proyectos con el apoyo de nuestros mentores a través de nuestro nuevo servicio de mentorías. También podrás obtener recursos mediante hackathons y ruedas de negocio, así mismo recibirás contenidos todas las semanas para mantenerte informado.
Carlos Mario Alba Rodriguez
Cybersecurity consultant | Creador de Cripto para empresas. R[E]volucionamos tu empresa con servicios de Cripto y Web3 | DeFi | Smart contracts| Blockchain | Bitcoin | Criptomonedas
