La pesadilla de seguridad cripto que las auditorías normales no podrán salvar

Las auditorías están haciendo justo lo que deben: descubrir errores en el código. Y la neta, están funcionando. Ahora hay menos ataques que se aprovechan de fallas en el código para robar lana de las plataformas.

El problema es que cada vez hay menos conexión entre lo que revisan las auditorías y lo que los hackers usan para hacer de las suyas. Hoy en día, las mayores broncas no vienen de vulnerabilidades clásicas en los contratos inteligentes. Más bien, se deben a llaves privadas comprometidas, manipulaciones en la gobernanza, traiciones desde adentro, actualizaciones maliciosas de dependencias y fallos operativos.

Por más chidos que sean para encontrar errores en el código, las auditorías tradicionales no pueden evitar que un desarrollador caiga en un phishing o en otra trampa. El mejor código del mundo puede estar sobre una infraestructura operativa bien vulnerable.

De hecho, nuestra investigación muestra que, en cuanto a daño económico, estos ataques operativos hacen más desmadre que las fallas del código. La industria ha metido un chorro de recursos para arreglar los riesgos del contrato inteligente, pero las vías de ataque más caras siguen sin suficiente defensa. Es como si el mundo crypto todavía estuviera peleando contra las broncas del pasado, mientras que los malos ya cambiaron de plan.

Las plataformas suelen presumir cuántas auditorías hicieron, qué firmas de renombre contrataron o cuántos errores encontraron. Pero eso ya se volvió como un “síntoma” para saber si un proyecto es seguro, aunque no siempre sea así.