The Process of Cardano Smart Contract Audits1639×833 187 KB

Como hemos señalado en un artículo anterior sobre por qué las aplicaciones descentralizadas (dApps) necesitan auditorías de smart contract, no existe un proceso estandarizado para realizar una auditoría de smart contract, ya que la metodología es diseñada y adaptada por los auditores tras la revisión de la dApp.

Por otra parte, una auditoría puede cambiar de un proyecto de dApp a otro. El trabajo se adapta al tipo de proyecto de dApp de blockchain y al alcance de la auditoría. Todo ello hace que cada auditoría de smart contract sea única para cada proyecto específico.

Con este artículo, repasaremos algunas de las decisiones que influyen en una auditoría de smart contract de una dApp de Cardano. También describiremos una serie de pasos que son comunes a la mayoría de las auditorías.

Mientras Cardano crece como ecosistema, más y más proyectos de dApp continúan lanzándose en la red. Por lo tanto, ser capaz de entender cómo funcionan las auditorías de los smart contracts de Cardano es importante para que los creadores y desarrolladores de dApps de Cardano protejan a sus usuarios y productos.

Ámbito de una auditoría de una dApp de Cardano

La primera cuestión importante es el alcance de la auditoría. En artículos anteriores, hemos debatido cómo se dividen las dApps de Cardano entre el código on-chain y off-chain.

También hemos aprendido sobre el back-end, el front-end y otras piezas de la pila tecnológica de una dApp.

Lo primero que debe hacer una empresa de auditoría de smart contract de blockchain es definir las partes que va a revisar. La duración de la auditoría, la complejidad y el coste vienen definidos por esta decisión. Normalmente, las empresas auditoras no toman esta decisión y son los desarrolladores del proyecto de dApp quienes deciden el curso de acción.

No obstante, una parte de una dApp de Cardano siempre está sujeta a revisión, el código en cadena.

Ello se debe a que es la lógica que la red Cardano evalúa y ejecuta cuando los usuarios interactúan con una dApp basada en Cardano. Por esta razón, el código on-chain es siempre la pieza de una auditoría que no puede pasarse por alto.

Los desarrolladores pueden elegir entre el código fuera de la cadena, el sitio web y cualquier back-end que la dApp pueda utilizar. Cada una de ellas es opcional, ya que ninguna está expuesta a los usuarios, pero podría haber fallos o errores en ese código.

Tipos de vulnerabilidades de la dApp

Cuando se determina el alcance de la auditoría, el equipo de auditores comienza a revisar el código utilizando herramientas automatizadas y comprobaciones manuales. El proceso pretende identificar todas las vulnerabilidades que pueden comprometer el funcionamiento de las dApps.

A continuación, se agrupan en función de la gravedad. Cada empresa de auditoría puede tener un conjunto único de categorías para las vulnerabilidades, pero en general, la clasificación más común es:

• Vulnerabilidades críticas presentan un riesgo inmediato para una dApp.

• Las vulnerabilidades altas tienen el potencial de comprometer una gran parte de la dApp.

• Vulnerabilidades medias presentan problemas para el correcto funcionamiento de una dApp pero no son amenazas de seguridad inmediatas.

• Las vulnerabilidades bajas afectan al funcionamiento de una dApp pero no son amenazas para la seguridad.

Todas las vulnerabilidades encontradas en el código auditado por la empresa deberían pertenecer a una de estas categorías. Por supuesto, si el alcance de la auditoría solo se aplica al código on-chain, las vulnerabilidades en otras partes de la dApp no son responsabilidad de los auditores.

Solucionar las vulnerabilidades de la dApp

Una vez compilada la lista de vulnerabilidades, el equipo de desarrollo tiene que abordarlas para el informe final. Por lo general, la auditoría de smart contract es un documento público destinado a ser leído por usuarios, desarrolladores y participantes de todos los niveles de conocimiento.

Ello significa que si no se abordan las vulnerabilidades identificadas, la auditoría se convierte en una hoja de ruta para un posible ataque. Esto es especialmente cierto para las que entran en las categorías de “crítica” o “alta”, ya que ambas clases tienen el potencial de poner patas arriba la seguridad de una dApp.

Conviene leer cómo corrige estas vulnerabilidades el equipo de desarrolladores. Los resultados demuestran que el uso de una dApp es seguro y que tanto los auditores como los desarrolladores han realizado una revisión exhaustiva del código.

Los informes de auditoría son, además, una excelente herramienta de aprendizaje. Ofrecen ejemplos en vivo de cómo funciona la lógica de la dApp y de cuándo tiene errores. Son una excelente fuente de información para aquellos que buscan adentrarse en el mundo del desarrollo de blockchain.

El ecosistema de dApps de Cardano se está expandiendo rápidamente. Se lanzan proyectos constantemente y el ritmo de desarrollo no disminuye. Es uno de los mejores momentos para saltar a la red y verla crecer.

Por supuesto, eso significa que todas estas dApps requieren auditorías de seguridad adecuadas. La industria blockchain es única porque, por su propia naturaleza, se ha convertido en un objetivo gigantesco para la acción delictiva. Los auditores y los desarrolladores deben trabajar codo con codo para garantizar que todos los activos se mantienen a salvo.

Cardano es uno de los ejemplos de excelencia en este campo. En la actualidad no se han producido hackeos importantes, exploits ni se han perdido grandes sumas de dinero en ningún proyecto lanzado sobre Cardano. Se trata de un récord que hay que celebrar, pero también que todos los miembros de la comunidad deben vigilar ferozmente.

¿Desea saber más sobre Cardano? Siga a EMURGO en X

EMURGO Follow Banner1075×491 29.2 KB

Cardano es uno de los mayores ecosistemas blockchain de la industria, con muchas dApps DeFi y NFT en uso.

Tanto si usted es un constructor que desea aprender más sobre la construcción de dApps en Cardano, un constructor en busca de financiación, un desarrollador que desea contribuir a la red Cardano, un miembro individual de la comunidad, o de otra manera, EMURGO tiene contenido para usted.

Siga a EMURGO en X para obtener de la forma más sencilla actualizaciones, contenidos y otra información necesaria sobre el ecosistema Cardano.

Sobre EMURGO

• Official Homepage: emurgo.io
• Twitter (Global): @EMURGO_io
• YouTube: EMURGO channel
• Discord: EMURGO Community
• Facebook: @EMURGO.io
• Instagram: @EMURGO_io
• LinkedIn: @EMURGO_io

Exoneración de responsabilidad

• No debe interpretar esta información u otro material como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo. En ningún caso el contenido de este documento constituirá una solicitud, recomendación, aprobación u oferta de inversión por parte de EMURGO.*

Traducción al español de “ The Process of Cardano Smart Contract Audits”, escrito por @EMURGO_io, en noviembre 15 de 2024.

Notas del traductor

• Corchetes del traductor.
• indica que el enlace apunta a un contenido en idioma inglés.
• indica que el enlace apunta a un contenido en idioma español.

Considere suscribirse a las siguientes fuentes de información en español de Cardano según su interés.

• [Twitter] Cardanians Hispanos
  Seguimiento y traducción al español de los tweets oficiales de la Fundación Cardano, EMURGO, IOG, Yoroi y Comunidad Cardano y más.

• [Telegram] Anuncios de Cardano en Español
  Anuncios oficiales traducidos al español, de Cardano, EMURGO y Yoroi.

• [YouTube] Cardano en Castellano
  Videos oficiales de Cardano doblados al español.

• [Medium] El Blog de LiberLion
  Artículos de Cardano en inglés y español.