En un momento en que las criptomonedas y todo lo relacionado con ellas es tan nuevo para muchos pero a la vez tan emocionante y llamativo, no todos los que quieren hacer uso de ello saben a la perfección como hacerlo. Sin embargo, el problema no está exactamente en los que lo intentan, sino, en aquellos que se aprovechan de su inexperiencia para aprovecharse de ellos.
Se han visto diversos casos de hackers que han atacado y robado grandes cantidades de dinero en criptomonedas, ya sea en exchanges criptográficos o directamente a personas. En ocasiones hemos oído hablar de secuestros también en los que pedían un pago en criptomonedas a cambio de liberar a alguien o devolver algún tipo de información que habían encriptado y robado, etc.
Como hemos comentado también en algún artículo, el internet of things (IoT) es otro de los puntos de mira para estos hackers. Ya que, si consiguen acceso a uno de los dispositivos conectados a una red, este les permitirá tener acceso a los demás.
Y, por otro lado, tenemos a los famosos smart contracts. No son muchas las personas que saben programarlos, la gente está empezando a experimentar con todo lo que este mundo engloba. Así que los hackers deben de estar esperando una vulnerabilidad para hacer su trabajo.
Escáner de smart contracts de Ethereum
Y por eso, el grupo de investigadores de ETH Zurich ha creado un escáner de smart contracts de Ethereum que verificará sus smart contracts para comprobar si existen posibles errores, expolias o algún tipo de problema.
El grupo de investigadores, el Dr. Petar Tsankov, el Dr. Hubert Ritzdorf, el Prof. Martin Vechev y el Dr. Arthur Gervais, cuentan con una gran experiencia en seguridad de sistemas y juntos trabajan para mejorar el espacio blockchain y los smart contracts.
Ahora, con su propia compañía, ChainSecurity, están lanzando productos para ayudar a los programadores y a los desarrolladores de ICO a comprender y lanzar sus tokens.
«El principal desafío técnico en la construcción de un escáner de seguridad eficaz para smart contracts es encontrar una manera de explorar todos los comportamientos del contacto, que incluso puede exceder la cantidad de átomos en el universo«, dijo Tsankov.
Según él, las comprobaciones de seguridad automáticas existentes esencialmente para smart contracts evitan este problema al inspeccionar solo un subconjunto de todos los comportamientos del contrato. Sin embargo, dado que no todos los comportamientos están cubiertos, estas verificaciones pueden pasar por alto vulnerabilidades críticas de seguridad.
«Nuestro nuevo escáner Ethereum considera todos los comportamientos del contrato para resolver el desafío, en lugar de evitarlo. De hecho, un estudio sobre los contratos de open source de Ethereum revela que las soluciones existentes pueden perder hasta dos tercios de las vulnerabilidades debido a la cobertura insuficiente«, añadió.
Cómo surge el proyecto
El equipo siempre ha tenido claro que no lanzarían ninguna ICO, por lo que es un proyecto autofinanciado. Ya se puede consultar la versión beta del escáner. Y va a lanzarlo oficialmente esta semana.
Tsankov también ha comentado que el número de descargas de contrato es de 100 diarias, es decir, 50 veces más que sus alternativas comerciales como Quantstamp. Actualmente, no hay mejor opción para auditar smart contracts, hasta los auditores profesionales de seguridad lo utilizan regularmente.
“Espero que el nuevo escáner de seguridad Ethereum tenga una atracción aún mayor debido a la mayor cobertura de vulnerabilidades y nuevas características«, dijo Tsankov.
Según comentó, tiene mucho interés en el área de análisis de seguridad automatizado. Tsankov había percibido los grandes problemas de seguridad en los smart contracts de Ethereum y sus consecuencias financieras. Así que se decidió a trabajar en el análisis de seguridad automatizado de los smart contratcs de Ethereum junto a algunos otros estudiantes de doctorado.
Juntos, dice que consiguieron construir el primer verificador automatizado para los smart contracts de Ethereum en el laboratorio de investigación. Sin embargo, después de aquello, mantener el proyecto como ‘simplemente académico’ se volvió complicado.
El interés comercial por los proyectos blockchain que se preocupan por la seguridad de los contratos es muy grande. Con lo cual, en octubre de 2017 incorporaron la puesta en marcha de su propia compañía, ‘ChainSecurity’, y empezaron a colaborar con iniciativas y proyectos de criptografía.
Como objetivo, el equipo pretende automatizar las auditorías de seguridad de los smart contracts. La compañía se basa en el trabajo del equipo en ChainCode y Securify y, su aspiración es llegar a ser el ‘estándar de oro’ para la detección de amenazas en smart contracts.
Una prueba rápida e interesante de las características mostró la rapidez y precisión con la que el sistema es capaz de detectar irregularidades.
Así que, para aquellos que muevan grandes cantidades de dinero, tal vez sea algo interesante.