El director general de la empresa de auditoría de contratos inteligentes Hacken, Dyma Budorin, cree que los proveedores de ciberseguridad de Web3 están fallando a la industria de las criptomonedas y que «enormes puntos ciegos» en las prácticas del mercado están afectando al comportamiento de los inversores.
Budorin cree que la falta de responsabilidad y transparencia en las auditorías realizadas por muchos proveedores no logra tranquilizar a los usuarios y a los proyectos.
Actualmente, los auditores de contratos inteligentes no asumen ninguna responsabilidad si un token que han auditado es pirateado debido a un error en el código. Inquietantemente, la mayoría de los mayores eventos de hackeo en 2022 ocurrieron en proyectos que fueron auditados por terceros.
Budorin dijo que esto le inquieta, ya que compromete la trayectoria de crecimiento de la industria de la ciberseguridad de Web3, que ya está muy por detrás de los equivalentes no cripto según un informe de Hacken.
Los auditores de Web3 se adentran en el código de un token en busca de amenazas de diversa gravedad. Estas auditorías no evalúan otros factores, como la viabilidad de un modelo de negocio, la experiencia del equipo y otros.
Budorin explicó que «los auditores tienen mucha responsabilidad», que se está ignorando porque el dinero entra y no hay un clamor público por mejores productos. Sin embargo, para él, los servicios que prestan son inadecuados, ya que:
«Faltan pruebas, responsabilidad y transparencia en las calificaciones de las criptomonedas».
Incluso en el raro caso de que un proyecto quisiera una auditoría más robusta, no podrían obtenerla de las empresas de ciberseguridad de Web3 porque, dice Budorin, «actualmente en la ciberseguridad de Web3, no hay empresas que ofrezcan auditorías recurrentes» que se realicen mensualmente y profundicen mucho más en el proyecto.
«Ahora mismo, la mejor práctica del mercado es conseguir una auditoría simbólica y ya está».
Budorin utilizó los puentes de tokens como ejemplo para demostrar los peligros de una industria sin mecanismos de auditoría exhaustivos. Dos de los mayores hacks de criptomonedas en lo que va de 2022 tuvieron lugar en los puentes de tokens Wormhole y Ronin Bridge de Axie Infinity, que perdieron un total de 920 millones de dólares.
Aunque la retrospectiva siempre es 20/20, es probable que una auditoría de alcance completo de cualquiera de los puentes que han sido hackeados este año, incluyendo Wormhole, Ronin Token Bridge, QBridge de Qubit y Meter’s Meter Passport podría haber evitado el desastre.
Además de los aparentes fallos en el código, Budorin dijo que los puentes de tokens ilustran aún más cómo hay «una enorme cantidad de puntos ciegos» en la ciberseguridad porque «no hay manera de saber quién es responsable de las claves, quién acuña nuevos tokens, si los tokens están correctamente puenteados, etc., sin transparencia.»
Budorin considera que para que el panorama de la ciberseguridad en la Web3 cambie realmente, parte de la responsabilidad recae en los inversores minoristas. En su opinión, una mayor transparencia con información fiable de fuentes responsables «requiere un cambio de paradigma por parte de los criptoinversores», que tienden a invertir en proyectos publicitados.
Este cambio podría ser provocado por una mayor disponibilidad de información procedente de auditorías completas de proyectos que tengan en cuenta el equipo, la funcionalidad de la plataforma y otros aspectos técnicos, en lugar de sólo el token.
Actualmente, los agregadores de datos CoinGecko y CoinMarketCap son los puntos de venta preferidos por los inversores para encontrar información sobre un proyecto. Sin embargo, Budorin dice que esas plataformas son defectuosas porque «los proyectos están manipulando sus datos» para mostrar topes de mercado muy altos o muy bajos. Cree que eso acabará cambiando a medida que los auditores evolucionen para llenar el espacio negativo.
«Cuando haya información más eficiente sobre la rendición de cuentas de las empresas de blockchain que emiten un token, [los inversores] comenzarán a comparar los fundamentos en lugar de la promoción».
