La seguridad de la cadena de bloques sigue siendo una preocupación fundamental para los desarrolladores, y las auditorías recientes realizadas por Veridise, una importante empresa de seguridad de cadenas de bloques, han permitido obtener nuevos conocimientos. Los últimos hallazgos de la empresa subrayan los problemas críticos presentes en los proyectos de conocimiento cero (ZK), lo que arroja luz sobre el intrincado panorama de la tecnología de la cadena de bloques y sus riesgos asociados.
Hallazgos y estadísticas de auditoría
Veridise analizó 1.605 hallazgos de vulnerabilidades de sus últimas 100 auditorías, revelando un promedio de 16 problemas por auditoría. Específicamente, las auditorías de conocimiento cero (ZK) mostraron una mayor frecuencia de vulnerabilidades, con un promedio de 18 problemas por auditoría, y el 55% de estas auditorías contenían al menos un problema crítico. En comparación, otras auditorías de blockchain mostraron una tasa de problemas críticos más baja, del 27,5%. Los problemas identificados abarcaron contratos inteligentes, integraciones de billeteras, implementaciones de blockchain y retransmisores.
Protocolos de conocimiento cero: potencial y desafíos
Los protocolos de conocimiento cero han llamado la atención por su promesa de mayor privacidad y escalabilidad. Estos protocolos permiten que una parte pruebe la veracidad de una declaración a otra parte sin revelar ninguna información adicional. Si bien este enfoque ofrece varios beneficios, también presenta desafíos criptográficos complejos, lo que hace que la seguridad en los proyectos de conocimiento cero sea particularmente intrincada.
Jon Stephens, director ejecutivo y cofundador de Veridise, destacó las complejidades que implica el desarrollo de un circuito ZK. Explicó que la creación de un circuito ZK exige un razonamiento preciso sobre la semántica de las operaciones en el generador de testigos. Los errores en la codificación de esta semántica en restricciones pueden dar lugar a errores inevitables, lo que contribuye a las vulnerabilidades críticas observadas en los proyectos ZK.
Vulnerabilidades comunes en proyectos DeFi
Las auditorías de Veridise también revelaron que los proyectos de finanzas descentralizadas (DeFi) suelen sufrir vulnerabilidades como errores lógicos, problemas de mantenimiento y problemas de validación de datos, que en conjunto representan el 65 % de todos los problemas identificados. Estos problemas son más frecuentes en las auditorías de ZK, donde los problemas de mantenimiento, incluidas las malas prácticas de codificación, pueden no ser vulnerabilidades de seguridad directas, pero pueden convertirse en errores críticos si no se abordan.
Implicaciones para la seguridad de la cadena de bloques
Los hallazgos de las auditorías de Veridise subrayan la importancia de las medidas de seguridad rigurosas en el desarrollo de cadenas de bloques, especialmente en los proyectos ZK. A medida que los protocolos de conocimiento cero siguen ganando terreno por sus posibles beneficios, la necesidad de auditorías de seguridad precisas y exhaustivas se vuelve cada vez más crítica. Los desarrolladores deben sortear los complejos desafíos criptográficos inherentes a la tecnología ZK para garantizar implementaciones sólidas y seguras.
Avanzando
Las revelaciones de Veridise resaltan la naturaleza evolutiva de la tecnología blockchain y la necesidad constante de estar alerta para abordar las vulnerabilidades de seguridad. A medida que la industria avanza, los conocimientos obtenidos de estas auditorías serán cruciales para orientar el desarrollo futuro y mejorar la postura de seguridad general de los proyectos blockchain. A través de auditorías continuas y la implementación de las mejores prácticas, la comunidad blockchain puede mitigar mejor los riesgos y fomentar un ecosistema más seguro para las aplicaciones descentralizadas.
Se detectaron más de 200 problemas graves. Los errores lógicos y de validación de datos fueron los problemas más comunes. También se detectaron problemas de circuitos con restricciones insuficientes, vulnerabilidades de denegación de servicio (DoS) y problemas de control de acceso, pero en menor número.
