A medida que la confianza en las auditorías se debilita, la comunidad de DeFi reflexiona sobre las alternativas de seguridad

A medida que los ataques a los protocolos populares de finanzas descentralizadas (DeFi) se vuelven cada vez más complejos, la efectividad de las auditorías de las grandes empresas de seguridad ha sido a su vez bajo escrutinio, y algunos miembros de la comunidad DeFi ya han comenzado a crear alternativas locales.

"Creo que ahora, después de todos los ataques que hemos tenido, básicamente entendemos que si tiene dos auditorías, tres auditorías, eso no significa que esté seguro", dijo el cofundador de DeFi Italia, Emiliano Bonassi, en una entrevista con Cointelegraph. "Eso no quiere decir que las auditorías no valgan nada en este momento, pero no son soluciones mágicas".

Es esta nueva realidad la que llevó a Bonassi a formar ReviewsDAO. Un foro simple para conectar expertos en seguridad y proyectos que buscan una mirada adicional, dentro de los tres días posteriores al lanzamiento de ReviewsDAO ya atrajo a cuatro revisores voluntarios (incluido Bonassi) y reunió a dos revisores en un proyecto.

Bonassi y ReviewsDAO tampoco están solos. Código 423n4 es otro proyecto destinado a reactivar un movimiento de seguridad dentro del ecosistema, aprovechando un giro experimental y divertido de recompensas de errores. Y de manera similar Immunefi, otra plataforma de recompensas de DeFi lanzada en diciembre del año pasado, está revisando el modelo de divulgación de seguridad al presionar por más del 10% de los fondos vulnerables como recompensa.

El modelo Immunefi, en particular, ya ha hecho olas, ganando con éxito una recompensa de sombrero blanco de $ 1.5 millones.

Surgen tres nuevos proyectos en solo dos meses, y cada uno con su propio modelo de incentivos: es un esfuerzo de toda la industria Stani Kulechov, el fundador de la plataforma de préstamos DeFi Aave, cree que será esencial para la salud y la seguridad del espacio en el futuro.

“Los auditores no están allí para garantizar la seguridad de un protocolo, solo ayudan a detectar algo que el equipo no conocía. En última instancia, esta es una revisión por pares y nosotros, como comunidad, necesitamos encontrar incentivos para permitir que más expertos en seguridad ingresen al espacio. "

"Sin balas de plata"

Bonassi debería ser un nombre familiar para cualquiera que haya seguido la reciente ola de hazañas. El desarrollador italiano es uno de la media docena de hackers de sombrero blanco que se encuentran con frecuencia después de un ataque en un intento de replicar el exploit y ayudar a los proyectos a corregir vulnerabilidades.

Pregúntele a cualquier fundador de DeFi sobre Bonassi y sus camaradas de la sala de guerra después de la explotación, y no pasará mucho tiempo antes de que canten sus alabanzas.

“La comunidad DeFi tiene la suerte de tener sombreros blancos como Samczsun y Emiliano. Sus esfuerzos [...] no solo hace que el espacio sea más seguro, sino que también destaca la narrativa de que hay muchas personas en nuestro ecosistema que se preocupan por el éxito del espacio ”, dijo Kulechov.

Si bien las habilidades de respuesta de los whitehats son ampliamente apreciadas, ReviewsDAO es un esfuerzo para reducir la frecuencia con la que los proyectos lo necesitan.

Para Bonassi, la tensión entre las necesidades de los proyectos y los recursos limitados de las firmas de auditoría debilita la seguridad del espacio Defi en el sentido amplio: los auditores siempre están ocupados, pero los equipos en el corazón de la carrera de innovación DeFi deben permanecer ágiles. Si bien un proyecto puede requerir una auditoría sobre algunos pequeños cambios, la disponibilidad y el costo a menudo requieren un pedido mayor, lo que resulta en una "segmentación" del código.

“Como no están disponibles, normalmente empaca un montón de cosas que desea revisar y enviárselas. La interacción es realmente, digamos 'basada en instantáneas', en lugar de tener una colaboración continua ”, dijo Bonassi.

Entonces, ¿cómo posibilita revisiones de seguridad más frecuentes que satisfagan mejor las necesidades de los proyectos? Bonassi dice que inicialmente imaginó una subvención de Gitcoin para un grupo de sombrero blanco como una solución, pero finalmente determinó que dicho modelo estaría demasiado centralizado y no podría escalar. Ninguno de sus compañeros de sombrero blanco sabía cómo solucionar el problema, así que optó por la simplicidad.

"Si no tiene idea, comience con lo básico: inicie un foro, diga un 'mercado', donde la gente pueda pedir opiniones grandes o pequeñas, y también ofrecer su experiencia".

No pretende reemplazar por completo las auditorías y las firmas de auditoría, señala Bonassi, y más bien visualiza DAO como una herramienta que puede ayudar a los proyectos jóvenes a prepararse mejor para una auditoría al proporcionar "revisión continua" y "auditoría líquida".

Es un modelo que, según el experto en seguridad Maurelian de OptimismPBC, deja espacio para grandes firmas de auditoría, al tiempo que reconoce que también debe haber otras soluciones de seguridad.

"En la OMI, una auditoría realizada por una empresa de alta calidad tiene un valor real, y nada más sirve como alternativa, pero también creo que existe un problema de dependencia excesiva de las auditorías para garantizar la seguridad", dijo.

Bonassi también cree que ReviewsDAO podría convertirse eventualmente en una especie de "universidad" de auditoría, donde las personas con conocimientos especializados pueden expandirse a otras áreas y los desarrolladores jóvenes pueden convertirse en auditores de pleno derecho, tanto al tener en cuenta como al fortalecer los recursos de desarrollo de DeFi.

“Mi objetivo también es mapear personas y proyectos: tener un lugar transparente donde las personas puedan intercambiar información, nos ayuda a comprender cuántas personas que son básicamente lo suficientemente buenas desde el punto de vista de la seguridad están presentes en el ecosistema.

La piel en el juego

Si bien satisface una necesidad clara del mercado, Bonassi dice que actualmente no hay planes de monetización o token de ReviewsDAO.

“Creo que iniciativas como esta deberían ser bienes comunitarios”, argumenta.

Este esfuerzo por evitar los incentivos de capital es más que un simple idealismo. Estos nuevos proyectos de auditoría surgen porque el modelo actual no es del todo sostenible, dice Bonassi, un modelo que es "transaccional", lo que significa que los auditores no tienen la piel del juego que un socio más comprometido. Como resultado, todo el panorama de DeFi (uno que los oyentes deberían garantizar aparentemente) sufre.

“No es una relación. No es una asociación ”, dice Bonassi.

Sin embargo, incluso el bien público a menudo recibe financiación pública, y la pregunta sigue siendo si los desarrolladores, que a menudo están sobrecargados de trabajo para empezar, estarán dispuestos a dedicar tiempo a lo que André Cronje llama la "tarifa. Emiliano Bonassi": sin otra recompensa. que el reconocimiento.

Bonsai señala que varios fundadores importantes del protocolo DeFi han ofrecido subvenciones, que hasta ahora han sido denegadas. Es terco para ver si los desarrolladores están dispuestos a devolver el espacio que a menudo se les da, incluso cuando existen otras opciones potencialmente lucrativas.

“Lo que realmente necesitamos en este ecosistema es más gente trabajando allí; digamos, alguien podría odiarme, pero menos bifurcaciones si no agregan valor. [...] No quiero terminar en la era de las ICO. No quiero volver a 2017 ".

La primera retroalimentación sobre el esfuerzo es prometedora. Cobertura / Protocolo de seguros Cover fue el primer proyecto que se emparejó con un revisor a través de ReviewsDAO.

“Fue increíble”, dice Pumpkin, desarrollador líder de Cover Protocol y Ruler Protocol. “Fui uno de los pocos con los que Emiliano compartió la idea justo antes de su liberación. Me encantó de inmediato porque eso es lo que estaba buscando (para obtener revisiones de código externo y más fácil y rápidamente) [...] No estoy seguro de lo que saldrá de esta revisión, pero el foro ciertamente está funcionando bien como se esperaba. "

Maurelian también cree que hay esperanza para el modelo quizás idealista, y que puede ser más transaccional de lo que parece a primera vista.

"Obtienes lo que das. Así que ser parte de un proyecto como este es probablemente una buena idea si planeas estar en el espacio a largo plazo", dijo.

A pesar de que algunos desarrolladores dan tiempo para ganarse el favor del futuro, Emiliano se mantiene firme en su visión de que los esfuerzos para asegurar el ecosistema deben provenir de un lugar de abnegación y amor.

“Este es el ideal que deberíamos impulsar. Y como tenemos mucho dinero y esta industria tiene mucho dinero, no se supone que necesites bonificaciones, se supone que debes hacerlo porque amas esta industria. Es un llamado a todos aquellos que deseen desarrollar el ecosistema. "