A medida que los ataques lanzados contra los protocolos populares de finanzas descentralizadas (DeFi) se vuelven cada vez más complejos, la eficacia de las auditorías de las principales empresas de seguridad, a su vez, ha sido objeto de escrutinio, y algunos miembros de la comunidad DeFi ya han comenzado a construir alternativas propias.

«Creo que ahora, después de todos los trucos que hemos tenido, básicamente entendemos que si tiene dos auditorías, tres auditorías, no significa que esté a salvo», dijo el cofundador de DeFi Italia Emiliano Bonassi en una entrevista con Cointelegraph. «Esto no significa que las auditorías no tengan valor en este momento, pero no son soluciones mágicas».

Esta nueva realidad es lo que empujó a Bonassi a formar ReviewsDAO. Un foro simple para conectar expertos y proyectos en seguridad que buscan un par de ojos extra, en los tres días desde su lanzamiento ReviewsDAO ya ha atraído a cuatro revisores voluntarios (incluido Bonassi) y ha emparejado a dos revisores con un proyecto.

Bonassi y ReviewsDAO tampoco están solos. Código 423n4 es otro proyecto que apunta a impulsar un movimiento de seguridad dentro del ecosistema, aprovechando un giro experimental y gamificado en las recompensas de errores. Y del mismo modo Immunefi, otra plataforma de recompensas de DeFi que se lanzó en diciembre del año pasado, está revisando el modelo de divulgación de seguridad al presionar por más del 10% de los fondos vulnerables como recompensa.

El modelo de Immunefi, en particular, ya ha hecho olas, consiguiendo un sombrero blanco con una recompensa de 1,5 millones de dólares.

Tres nuevos proyectos que emergen en solo dos meses, y cada uno con su propio modelo de incentivos: es un esfuerzo de toda la industria que Stani Kulechov, el fundador de la plataforma de préstamos DeFi, Aave, cree que será clave para la salud y la seguridad del espacio en el futuro.

“Los auditores no están aquí para garantizar la seguridad de un protocolo, simplemente ayudan a detectar algo de lo que el equipo no estaba al tanto. Con el tiempo, se trata de la revisión por pares y debemos encontrar incentivos comunitarios para permitir que más expertos en seguridad ingresen al espacio «.

«Sin balas de plata»

Bonassi debería ser un nombre familiar para cualquiera que se haya mantenido al día con la reciente serie de hazañas. El desarrollador italiano es uno de la media docena de hackers de sombrero blanco que se reúnen con frecuencia después de un ataque en un esfuerzo por replicar el exploit y ayudar a los proyectos a corregir las vulnerabilidades.

Pregúntele a cualquier fundador de DeFi sobre Bonassi y sus compañeros de sombrero blanco de “sala de guerra” post-explotación, y se apresurarán a cantar sus alabanzas.

“La comunidad DeFi tiene la suerte de tener sombreros blancos como Samczsun y Emiliano. Sus esfuerzos […] hace que el espacio no solo sea más seguro, sino que también destaca la narrativa de que hay muchas personas dentro de nuestro ecosistema que se preocupan por el éxito del espacio ”, dijo Kulechov.

Si bien las habilidades de respuesta de los sombreros blancos son ampliamente apreciadas, ReviewsDAO es de alguna manera un esfuerzo para reducir la frecuencia con la que los proyectos los necesitan.

En opinión de Bonassi, la tensión entre las necesidades de los proyectos y los recursos limitados de las firmas auditoras está debilitando la seguridad del espacio Defi en general: los auditores siempre están ocupados, pero los equipos en el meollo de la carrera de innovación DeFi deben permanecer ágiles. Si bien un proyecto puede requerir una auditoría sobre algunos pequeños cambios, la disponibilidad y los costos a menudo requieren un pedido más grande, lo que lleva a la «fragmentación» del código.

“Como no están disponibles, normalmente se prepara un montón de material que desea revisar y se lo envía. La interacción es realmente, digamos ‘basada en instantáneas’, en lugar de tener una colaboración continua ”, dijo Bonassi.

Entonces, ¿cómo permitir revisiones de seguridad más frecuentes que satisfagan mejor las necesidades de los proyectos? Bonassi dice que inicialmente consideró una subvención de Gitcoin para un grupo de sombrero blanco como una solución, pero finalmente determinó que tal modelo estaría demasiado centralizado y no podría escalar. Ninguno de sus compañeros de sombrero blanco sabía cómo resolver el problema, así que optó por la simplicidad.

«Si no tiene ningún tipo de idea, comience desde lo básico: inicie un foro, digamos un ‘mercado’, donde las personas pueden solicitar reseñas grandes o pequeñas, y también ofrecer su experiencia».

No tiene como objetivo reemplazar las auditorías y las empresas de auditoría por completo, señala Bonassi, y en cambio visualiza la DAO como una que puede ayudar a los proyectos más jóvenes a prepararse mejor para una auditoría al proporcionar una «revisión continua» y una «auditoría líquida».

Es un modelo que el experto en seguridad Maurelian de OptimismPBC cree que deja espacio para las grandes firmas de auditoría, al tiempo que reconoce que también deben existir otras soluciones de seguridad.

“En mi opinión, una auditoría realizada por una empresa de alta calidad tiene un valor real, y nada más sirve realmente como una ‘alternativa’, pero también creo que existe un problema de dependencia excesiva de las auditorías para proporcionar seguridad”, dijo.

Bonassi también cree que ReviewsDAO podría eventualmente convertirse en una especie de «Universidad» de auditoría, donde las personas con conocimientos especializados pueden diversificarse en otras áreas y los desarrolladores jóvenes pueden convertirse en auditores de pleno derecho, tanto haciendo un balance como reforzando los recursos de los desarrolladores en DeFi.

«Mi objetivo también es mapear personas y proyectos: tener un lugar transparente donde las personas puedan intercambiar información, ayudarnos a comprender cuántas personas, básicamente, desde una perspectiva de seguridad lo suficientemente buenas, están presentes en el ecosistema».

Piel en el juego

Si bien satisface una necesidad clara del mercado, Bonassi dice que no hay planes actuales para la monetización o un token ReviewsDAO.

“Creo que iniciativas como ésta deberían ser bienes comunitarios”, argumenta.

Este esfuerzo por evitar los incentivos de capital es más que un simple idealismo. Estos nuevos proyectos de auditoría surgen porque el modelo actual no es totalmente sostenible, dice Bonassi, un modelo que es «transaccional», lo que significa que los auditores no tienen la piel en el juego que tendría un socio más comprometido. Como resultado, todo el panorama de DeFi (uno que los auditores deberían aparentemente estar asegurando) está sufriendo.

“No son una relación. No es una asociación ”, dice Bonassi.

No obstante, incluso el bien público a menudo tiene financiación pública, y es una pregunta abierta si los desarrolladores, que a menudo están sobrecargados de trabajo para empezar, estarán dispuestos a donar tiempo a lo que Andre Cronje llama la “Tarifa Emiliano Bonassi”: sin otra recompensa que la reconocimiento.

Bonsai señala que varios fundadores importantes del protocolo DeFi han ofrecido subvenciones, que hasta ahora han sido rechazadas. Es terco para ver si los desarrolladores están dispuestos a retribuir al espacio que a menudo les da tanto, incluso cuando hay otras opciones potencialmente lucrativas disponibles.

“Lo que realmente necesitamos en este ecosistema es más personas que trabajen en él; digamos, alguien puede odiarme, pero menos bifurcaciones si no están agregando valor. […] No quiero terminar en la era de las ICO. No quiero volver a 2017 «.

Los primeros rendimientos del esfuerzo son prometedores. Protocolo de cobertura / seguro Cover fue el primer proyecto que se emparejó con un revisor a través de ReviewsDAO.

«Fue genial», dice Pumpkin, un desarrollador principal de Cover Protocol y Ruler Protocol. “Fui uno de los pocos con los que Emiliano compartió la idea justo antes del lanzamiento. Me encantó de inmediato, ya que es lo que estaba buscando (para obtener revisiones de código externo y de manera más fácil y rápida) […] No estoy seguro de lo que saldrá de la revisión, pero el foro ciertamente está funcionando bien como se esperaba «.

Maurelian también cree que hay esperanza para el modelo quizás idealista, y que puede ser más transaccional de lo que parece a primera vista.

«Recibes lo que das. Así que participar en un proyecto como este probablemente sea una buena idea si planeas estar en el espacio a largo plazo ”, dijo.

Incluso si algunos desarrolladores donan tiempo para ganarse favores futuros, Emiliano se mantiene firme en su visión de que los esfuerzos para asegurar el ecosistema deben provenir de un lugar de altruismo y amor.

“Ese es el ideal que debemos impulsar. Y como tenemos mucho dinero, y esta industria tiene mucho dinero, se supone que no necesitas recompensas, se supone que debes hacerlo porque amas esta industria. Este es un llamado a todas las personas que desean hacer crecer el ecosistema «.