La revelación, durante el mes de diciembre de 2023, de una vulnerabilidad en contratos inteligentes por parte de Thirdweb, ha generado un impacto significativo en los principales jugadores del espacio Web3. Este incidente resalta la importancia vital de las auditorías de contratos inteligentes en el creciente panorama de activos digitales.
La vulnerabilidad de seguridad, identificada en una biblioteca de código abierto ampliamente utilizada en Web3, potencialmente afecta a varios proyectos de NFT, especialmente aquellos desarrollados utilizando los marcos de Thirdweb antes del 22 de noviembre. Entre los afectados se encuentran colecciones populares presentes en OpenSea y Coinbase NFT, con contratos específicos como DropERC20, ERC721, ERC1155 y AirdropERC20 bajo escrutinio.
A pesar de su aparente naturaleza sencilla, los contratos inteligentes, comúnmente desarrollados en Solidity, a veces están plagados de complejidades y peligros ocultos. Cada línea de código tiene un poder inmenso, donde un solo error podría llevar a consecuencias desastrosas. Además, la amenaza no es solo técnica; también puede ser intencional, como se ha visto en casos de 'rug pulls' donde los propietarios de proyectos crean deliberadamente puertas traseras para desviar fondos.
La comunidad está comenzando, gradualmente, a ser más vigilante para detectar intenciones maliciosas, reconociendo el valor de las auditorías como un sello distintivo de integridad. Sin embargo, otra amenaza apremiante acecha: los sofisticados ataques de hackers. Tan solo en el primer trimestre de 2023 se registró una pérdida cuantiosa de 222 millones de dólares debido a tales exploits, subrayando la creciente complejidad y atracción de estos ataques para los ciberdelincuentes.
Este desarrollo en curso demuestra claramente la necesidad esencial de auditorías exhaustivas y completas de smart contracts. Estas auditorías no son solo una formalidad técnica, sino un aspecto fundamental para garantizar la integridad, confianza y longevidad de los proyectos en el ecosistema Web3, especialmente a medida que los activos digitales y los NFT continúan ganando tracción en el ámbito mainstream.
Para entender el papel crítico de las auditorías de contratos inteligentes en el ecosistema Web3, es esencial comprender primero cómo funcionan los contratos inteligentes y cómo se integran en este paisaje digital.
¿Qué son los Smart Contracts?
Los contratos inteligentes son contratos autoejecutables con los términos del acuerdo escritos directamente en líneas de código. Son un componente fundamental de la denominada blockchain. Su funcionalidad tiene 4 características principales:
- Ejecución automatizada ante condiciones predeterminadas.
- Inmutabilidad y seguridad, traducidas en que no se puede alterar el contrato ni manipular debido a que está distribuido.
- Condicionalidad, significando que ante términos establecidos los resultados se ejecutan automáticamente.
- Se escriben en lenguajes de programación específicos para blockchain como Solidity (para Ethereum).
¿Por qué los contratos inteligentes son críticos para el éxito de la adopción masiva de blockchain?
En primer lugar, y quizás la más lógica de las razones, es porque los smart contracts están implementados en código, y al igual que cualquier software, pueden contener errores o vulnerabilidades. En blockchain, estas vulnerabilidades pueden ser más críticas debido a la condición inmutable de la tecnología de la que hablamos previamente; una vez que se despliega un contrato, no se puede alterar o parchear como el software tradicional.
Esto hace que la auditoría previa sea vital para identificar y rectificar cualquier fallo de seguridad que pueda dar lugar a exploits como ataques de reentrancia (donde una función puede ser llamada repetidamente de una manera que drena fondos), problemas de desbordamiento/subdesbordamiento (donde las operaciones numéricas exceden los límites de almacenamiento de la variable) u otros errores lógicos.
Acto seguido hay que considerar la irreversibilidad, es decir, las transacciones en la cadena de bloques son irreversibles. Si un contrato inteligente es explotado debido a una vulnerabilidad, las pérdidas financieras incurridas pueden ser sustanciales e irreversibles. Esto es especialmente significativo en el caso de aplicaciones DeFi (Finanzas Descentralizadas) donde pueden estar involucradas grandes sumas de criptomonedas.
En esta línea, siendo que estos contratos a menudo interactúan con otros y sistemas externos (como oráculos) se puede concluir que este sistema de interacciones puede llevar a vinculaciones complejas, difíciles de predecir y probar. (Una auditoría ayuda a inspeccionar estas interacciones para asegurar que no abran nuevas vulnerabilidades, especialmente en un ecosistema multi-contrato donde el fallo de un contrato podría provocar una cascada).
Adicionalmente, conducen a una optimización del costo y la eficiencia de las operaciones en la blockchain, considerando que las transacciones en la cadena requieren 'gas', una tarifa que los usuarios pagan para compensar la energía requerida para procesar y validar transacciones. Un código ineficiente puede consumir más gas del necesario, lo que conlleva mayores costos. Las auditorías también se centran en optimizar la eficiencia del contrato para minimizar el consumo de gas, lo que es crucial para la experiencia del usuario y la rentabilidad.
Como vemos los smart contracts son, de manera insoslayable, uno de los núcleos de los que depende la escala de la blockchain y la descentralización como producto.
Importancia estratégica
En términos prácticos, los contratos inteligentes son también una herramienta destinada no solo a afectar el mundo financiero, de seguros, inmobiliario o los mercados de consumo e inversión, por ejemplo, sino que están en vías de convertirse en un activo estratégico que cambiará el orden vincular entre gobiernos y personas, entre Estados e individuos.
En la última década, en la República Argentina, hemos sido testigos de numerosos ejemplos de hackeos que pusieron en riesgo la identidad y la privacidad ciudadana y la defensa misma de la soberanía de nuestro territorio. Sufrimos filtraciones masivas en el Comando del Ejército Argentino, en Anses, Pami, Nosis, Renaper y la Agencia Nacional de Seguridad Vial. Estos últimos dos durante el mes de abril de este año, arrojando como resultado que la identidad de los argentinos y 5,7 millones de licencias de conducir estén a la venta en la deep web.
No hay dudas de que el funcionamiento de los smart contracts, configurándose en sistemas con reglas predeterminadas sobre las preferencias del custodio de los datos, o el usuario final, permitiendo encriptación y desencriptación solo bajo condiciones inicialmente determinadas otorga una capa de protección fundamental para identidades digitales y activos estratégicos.
Pero el impacto técnico de esta tecnología no terminaría ahí, si consideramos que mediante smart contracts se podrían automatizar y transparentar relaciones e interacciones entre el Estado y el contribuyente permitiendo, por ejemplo, que los usuarios volvamos a ser dueños de nuestros datos médicos y administrando a quién se la da acceso, por cuánto tiempo y para qué se usan, o bien ejecutando "contratos" entre organizaciones estatales y contribuyentes que se obligan voluntariamente, desde vínculos crediticios con individuos y empresas, hasta relaciones impositivas, o resolución de conflictos jurídicos.
Confianza e innovación en Argentina
Como todo, la confianza de la comunidad y los resultados hacen a la credibilidad del proyecto. En la comunidad blockchain, la confianza es fundamental. Por ello, un proyecto que se somete a rigurosas auditorías es más probable que sea confiado por usuarios e inversores y esa es la razón de ser de las auditorías de smart contracts.
Las auditorías hacen cumplir las mejores prácticas de programación y estándares de alta calidad. A menudo involucran revisión por pares y metodologías de prueba que son cruciales para mantener un código de alta calidad. Esto es importante en un espacio que aún es relativamente nuevo y evoluciona rápidamente, ya que ayuda a establecer altos estándares de desarrollo.
A medida que la tecnología blockchain evoluciona, también lo hacen las tácticas de los actores maliciosos. Las auditorías no solo abordan las vulnerabilidades conocidas actuales, sino que también anticipan posibles problemas de seguridad futuros. Este enfoque de pensamiento a futuro es crucial para la viabilidad y seguridad a largo plazo de un contrato inteligente.
En este escenario, el mercado argentino goza de buena salud, con equipos capacitados que ya están a la vanguardia del despliegue de las innovaciones en la Web3. Entre esos casos podemos encontrarnos con compañías como CoinFabrik, que ha participado en más de 350 proyectos de aplicaciones descentralizadas y es hoy una compañía líder con inserción internacional en América Latina, Estados Unidos y Europa. De ellos vale la pena destacar el trabajo por el concepto fundamental, el cual creo que es adecuado para el avance de esta tecnología.
Así, la empresa tiene un market plan de viabilidad hacia el futuro, al cual pudimos acceder por vía del propio CEO, Sebastián Wain quien, al respecto del futuro, contó a El Economista en diálogo exclusivo que "CoinFabrik planea continuar su trayectoria de innovación mediante la inversión en investigación y desarrollo".
También, dijo, "estamos enfocados en fortalecer nuestras capacidades de inteligencia artificial para mejorar la detección de vulnerabilidades y optimizar los procesos de seguridad. A largo plazo, nuestro plan incluye el desarrollo de soluciones propietarias que nos permitan ofrecer servicios aún más seguros y eficientes a nuestros clientes".
"Esto incluye el perfeccionamiento de nuestras tools de auditoría de contratos inteligentes y la exploración de nuevas aplicaciones de la tecnología blockchain en campos como las finanzas descentralizadas (DeFi), redes de infraestructura física descentralizadas (DePIN, por sus siglas en inglés) y en la tokenización de activos del mundo real (RWA, por sus siglas en inglés)", añadió.
Al respecto de la posibilidad de colaborar con entes gubernamentales o descentralizados para avanzar la seguridad y privacidad de datos sensibles, Wain sostuvo que "CoinFabrik definitivamente consideraría la posibilidad de colaborar con entidades estatales, especialmente en el desarrollo y auditoría de contratos inteligentes que manejen datos médicos o información estratégicamente sensible. La implementación de tecnología blockchain en el sector público ofrece varias ventajas, incluyendo mayor transparencia, seguridad y eficiencia en la gestión de datos".
"En cuanto a los contratos inteligentes para organizaciones estatales, CoinFabrik puede aportar su expertise para asegurar que estos sistemas no solo sean técnicamente sólidos, sino que también cumplan con las regulaciones de privacidad y seguridad necesarias. La capacidad de blockchain para ofrecer soluciones descentralizadas y resistentes a la manipulación lo convierte en una opción ideal para manejar datos sensibles de manera segura", dijo Wain.
Asimismo, garantizó que la EU Data Act no significaría una complicación para sus operaciones europeas "porque la compañía tiene productos y soluciones para administrar cómo se utilizan los datos en Web3" evidenciando un proceso de adaptabilidad y previsión en curso.
La compañía argentina demuestra estar capitalizando su extensa experiencia en auditoría y la disponibiliza en un modelo open source que hoy le da a todos los desarrolladores de smart contracts una vía segura para posibilitar que esta tecnología escale de la misma forma que lo hizo, por ejemplo, tanto el machine learning como el deep learning: generando ubicuidad a través de frameworks de desarrollo seguro que impulsen a los desarrolladores y mejoren el acceso a una tecnología que tiene el potencial de bajar los costos de transacción y aumentar la transparencia en los vínculos entre individuos y de la sociedad con el Estado.
