La auditoría de contratos inteligentes se está volviendo aún más importante con el advenimiento de las finanzas descentralizadas. Aquí es donde empresas como HashEx entran en escena. HashEx ha proporcionado auditorías de contratos inteligentes para más de 500 proyectos hasta la fecha y la compañía ayuda a proteger los protocolos DeFi. Las vulnerabilidades que la compañía ha encontrado en los contratos inteligentes han ahorrado a los proyectos más de $ 2 mil millones.
Bitcoinist se sentó con el CEO de HashEx, Dmitry Mishunin, para hablar sobre el trabajo de la compañía en el espacio. Fundada en 2017, HashEx cuenta con un historial impresionante en el espacio DeFi. Mishunin le contó a Bitcoinist sobre su trabajo en el espacio de ciberseguridad, trabajando con contratos inteligentes, y la auditoría más reciente de HashEx, el contrato inteligente de KODA.
Bitcoinist: ¿Cómo ingresaste a la ciberseguridad?
Dmitry Mishunin: Sí desarrollo de software durante diez años para diferentes empresas. En su mayoría, trabajé con un pequeño equipo de ingenieros elaborando soluciones complejas. Nunca hicimos sitios web ni aplicaciones móviles. Siempre creamos algo complicado. Nuestros clientes eran grandes empresas de TI rusas y cuando carecían de equipos de desarrollo internos y tenían proyectos interesantes para ejecutar como Big Data y herramientas de análisis, acudían a nosotros y nos pedían hacerlo. Antes de HashEx, teníamos al menos cinco años de subcontratar nuestros servicios.
Algo interesante de mencionar aquí es que trabajé como CIO en tres empresas de comercio electrónico en Rusia y siempre hay una guerra entre el CIO y el CSO porque el CIO quiere optimizar todos los procesos, implementar nuevas soluciones, introducir nuevo software para que se ejecute más rápido, y todo esto es un riesgo de seguridad potencial para un oficial de seguridad. Entonces siempre tienes algún conflicto ahí. En ese momento, estaba en una línea de batalla diferente. Cuando comencé a trabajar en ciberseguridad en , creo que el punto principal no era la seguridad en sí, sino los inversores y los fondos de los inversores.
Bitcoinista: Con su experiencia, podría haber entrado en cualquier parte del sector de la ciberseguridad. ¿Por qué eligió la auditoría de contratos inteligentes?
Dmitry Mishunin: A mediados de 2013 o 2014, entré en la minería de Bitcoin. Intenté minar Bitcoin. Luego me enfoqué en Litecoin. Construí algunas granjas. Luego cambié el enfoque al software de minería y los sistemas de monitoreo de minería. Cuando se introdujo Ethereum, ya tenía algo de experiencia con blockchains y la tecnología en sí.
En 2017, con el primer boom de las ICO, decidimos dejar de subcontratar nuestras actividades de desarrollo en diferentes direcciones y nos centramos solo en los contratos inteligentes de Ethereum. Trabajamos en ello durante un año, de 2017 a 2018. Hicimos alrededor de 100 proyectos diferentes, contratos inteligentes y aplicaciones descentralizadas, obteniendo buenas habilidades y conocimientos sobre cómo funcionaban Ethereum, Solidity y contratos inteligentes. Las solicitudes de nuestros clientes cambiaron de solicitudes de códigos a consultas para asegurarse de que sus códigos sean seguros. Comenzamos como un verdadero auditor. Cambiamos nuestro trabajo principal de la escritura de códigos a la inspección de códigos y luego a la auditoría de códigos.
Tenía una amplia experiencia con los mercados de valores como el Nasdaq y el mercado de valores ruso. Entonces entendí lo importante que era mantener seguros sus fondos. No solo de los ladrones, sino también de las malas decisiones de inversión. Estábamos pensando en cómo ganarnos la confianza en un espacio sin confianza. Esto era mucho más importante para nosotros que la ciberseguridad.
Antes de entrar en , tuve innumerables oportunidades para convertirme en oficial de seguridad, tal vez iniciar una empresa que realiza pruebas de penetración y encuentra fugas de seguridad. No estaba interesado en esta esfera. Sin embargo, cuando se trataba de inversiones en cadenas de bloques y proyectos de cadenas de bloques y el alto riesgo asociado con el espacio, estaba emocionado de cómo podríamos hacerlo más seguro, cómo podríamos ayudar a las personas a aprovechar de manera segura las oportunidades que presentaba este campo.
Bitcoinista : Su empresa HashEx ha auditado más de 500 contratos inteligentes. ¿Puede hablarnos de algunos de sus proyectos más desafiantes?
Dmitry Mishunin: A veces nos enfrentamos a grandes proyectos con una base de código masiva. En septiembre, realizamos una auditoría del protocolo de préstamos de Trader Joe que se basa en Avalanche. Habían bifurcado C.R.E.A.M Finance, que ha sido pirateado varias veces con cientos de millones de dólares robados. Al bifurcar C.R.E.A.M, también habían heredado las vulnerabilidades de la red. Entonces vinieron a nosotros para hacer una auditoría del código base. Era enorme.
Una auditoría de contrato inteligente generalmente demora entre 5 y 7 días hábiles en completarse. Pero nos llevó más de un mes completar la auditoría del protocolo de Trader Joe. Tuvimos que traer más auditores al proyecto. No podríamos hacerlo con nuestro enfoque estándar de dos auditores en el proyecto. Tuvimos un auditor supervisor entre dos pequeños equipos de auditores. Este fue uno de los proyectos más complicados en los que hemos trabajado.
Bitcoinista: HashEx auditó recientemente el contrato inteligente de KODA. ¿Puedes hablar sobre el proyecto?
Dmitry Mishunin: Empezamos a trabajar con ellos este verano. Hemos tenido al menos dos o tres contratos inteligentes de ellos, el primero de los cuales obtuvimos en el verano. Luego lanzaron la segunda versión de KODA. Lo cambiaron muchas veces porque estaban tratando de ajustarlo a las necesidades del mercado. KODA es un proyecto interesante porque detrás de él hay un emprendedor, James Gale, que es muy bueno en lo que hace. Creo que alguien así es bueno para un proyecto como KODA. Tiene un negocio en el mundo real en Gran Bretaña, y su experiencia comercial es importante para ellos.
Bitcoinista: ¿Qué riesgos descubrió en el contrato inteligente de KODA durante el curso de su auditoría?
Dmitry Mishunin: Por lo que recuerdo, KODA es un token bifurcado de RFI y la mayoría de ellos solo están tratando de bifurcarse entre sí. Esto hace que tengan muchas oportunidades de infracciones de puerta trasera. Uno de los mayores proyectos de RFI es Safemoon, que alcanzó más de $ 2 mil millones en capitalización. Realizamos una auditoría para ellos durante el verano y encontramos algunas ideas de puerta trasera. Tenían alrededor de 10 vulnerabilidades y estas vulnerabilidades eran riesgosas cuando estos proyectos comenzaron a interactuar entre sí.
Publicamos un artículo que se publicó en importantes publicaciones criptográficas. Revelamos cómo el equipo de Safemoon podría obtener unos 20 millones de dólares de fondos de inversores. El proyecto había tenido unas diez auditorías previas y nadie había encontrado esta vulnerabilidad. Cuando KODA salió al mercado, habían bifurcado el mismo código que Safemoon, por lo que tenían la misma puerta trasera.
Revelamos las vulnerabilidades al equipo de KODA y arreglaron la capacidad de robar fondos a través de esta puerta trasera. Ahora, creo que el proyecto es bastante bueno.
Bitcoinista: Después de encontrar estas vulnerabilidades en el contrato inteligente, ¿cómo mejoró la seguridad del contrato inteligente?
Dmitry Mishunin: Cuando realizamos una auditoría , enviamos un informe preliminar al equipo. Enviamos nuestras recomendaciones y sugerencias y el equipo las seguirá en su código. Luego nos envían la próxima versión del código base. Volvemos a verificar si hay problemas y nos aseguramos de que no haya más vulnerabilidades en el código. Por lo que recuerdo, aprobamos KODA con un buen resultado de auditoría. Hubo algunos problemas menores, pero no creo que sea un gran problema no trabajar con él.
Bitcoinista: Con la auditoría completada con éxito, ¿qué confianza tiene en el futuro del proyecto KODA?
Dmitry Mishunin: Si estamos hablando del lado tecnológico, como el contrato inteligente, estoy 100% seguro en el proyecto.
Bitcoinista: ¿Dónde ve la industria DeFi en los próximos, digamos, cinco a diez años?
Dmitry Mishunin: Creo que será más grande que la industria bancaria actual. Estamos viendo que muchos inversores institucionales, grandes empresas como Microsoft, Facebook, están entrando en el espacio. Es muy fácil de usar. Creo que los sectores financieros tradicionales como la banca, los préstamos, los préstamos y otros se verán transformados por las finanzas descentralizadas (DeFi).
Imagen destacada de Medium
