Back to Blog

Guía de Mitigación de Riesgos DeFi 02: Cómo los Usuarios de DeFi Pueden Evaluar los Riesgos

July 5, 2024
11 min read

Esta serie de artículos, extraída de la "Edición Especial de Seguridad 05" coeditada por OKX Web3 y BlockSec, aborda las preocupaciones de seguridad que enfrentan los usuarios de DeFi y los equipos de proyectos DeFi.

P1: ¿Qué criterios o métricas pueden emplearse para una evaluación preliminar del perfil de seguridad y riesgo de un proyecto DeFi?

Equipo de Seguridad de BlockSec: Antes de invertir en un proyecto DeFi, es esencial realizar una evaluación de seguridad integral del proyecto. Esto es especialmente cierto para los participantes con mayores cantidades de capital, ya que la debida diligencia en seguridad puede garantizar la seguridad de los fondos en la mayor medida posible.

En primer lugar, se recomienda realizar una evaluación integral de la seguridad del código del proyecto, incluyendo si el proyecto ha sido auditado por una empresa de auditoría con buena reputación en seguridad, si participan múltiples empresas de auditoría y si el código más reciente ha sido auditado. En términos generales, si el código que se ejecuta en línea ha sido auditado por múltiples empresas de seguridad con buena reputación, esto reducirá en gran medida el riesgo de ataques de seguridad.

En segundo lugar, es importante verificar si el equipo del proyecto ha desplegado un sistema de monitoreo de seguridad en tiempo real. Las auditorías de seguridad garantizan la seguridad estática y no pueden resolver los problemas de seguridad dinámica que surgen después de que el proyecto entra en funcionamiento. Por ejemplo, si el equipo del proyecto ajusta incorrectamente parámetros operativos clave del proyecto o agrega nuevos pools. Si el equipo del proyecto ha adoptado algunos sistemas de monitoreo de seguridad en tiempo real, su nivel de seguridad operativa será más alto que el de los protocolos que no han adoptado dicha solución.

En tercer lugar, evalúe la capacidad del proyecto para la respuesta automática ante emergencias, un aspecto que suele pasarse por alto. Hemos observado que en numerosos incidentes de seguridad, los proyectos carecen de interruptores automáticos para funciones críticas. El manejo manual de emergencias ha demostrado ser ineficiente y, en ocasiones, ineficaz.

En cuarto lugar, examine la dependencia del proyecto en recursos externos y su robustez. Los proyectos DeFi a menudo dependen de datos de terceros, como precios y liquidez. Por lo tanto, es necesario evaluar la seguridad del proyecto a partir del número de dependencias externas, la seguridad de los proyectos de dependencia externa y si existe monitoreo y procesamiento en tiempo real de datos anómalos de dependencias externas. En términos generales, los proyectos que dependen de proyectos de primer nivel y que tienen tolerancia a fallos y procesamiento en tiempo real de datos anómalos de proyectos externos serán más seguros.

En quinto lugar, es crucial si el equipo del proyecto tiene una estructura de gobernanza comunitaria relativamente buena. Esto incluye si el equipo del proyecto cuenta con un mecanismo de votación comunitaria para eventos importantes, si las operaciones sensibles se completan con múltiples firmas, si las billeteras multifirma han introducido la participación neutral de la comunidad y si existe un comité de seguridad comunitaria, entre otros aspectos. Estas estructuras de gobernanza pueden mejorar la transparencia del proyecto y reducir la posibilidad de que los fondos de los usuarios sean sustraídos fraudulentamente en el proyecto.

Por último, el historial del equipo del proyecto también es muy importante. Es necesario realizar verificaciones de antecedentes del equipo del proyecto y sus miembros principales. Si los miembros principales del equipo del proyecto tienen un historial de múltiples ataques o fraudes en proyectos anteriores, entonces los riesgos de seguridad de dichos proyectos serán relativamente más altos.

En resumen, antes de participar en proyectos DeFi, los usuarios, especialmente aquellos con grandes cantidades de capital, deben investigar, desde la auditoría de seguridad del código antes de que el proyecto entre en funcionamiento hasta la construcción de capacidades de monitoreo de seguridad en tiempo real y respuesta automática después de que el proyecto entre en funcionamiento, para examinar la inversión en seguridad y la protección del equipo del proyecto, y llevar a cabo la debida diligencia desde las perspectivas de las dependencias externas, la estructura de gobernanza y el historial del equipo del proyecto para garantizar la seguridad de los fondos invertidos en el proyecto.

Equipo de Seguridad de la Billetera OKX Web3: Si bien no se puede garantizar una seguridad absoluta en los proyectos DeFi, los usuarios pueden evaluar su perfil de seguridad y riesgo considerando estas dimensiones clave.

  1. Seguridad Técnica del Proyecto:
  • 1)Verificar si el proyecto ha sido auditado por múltiples firmas de auditoría de buena reputación y experiencia.
  • 2)Revisar el número y la gravedad de los problemas reportados en los informes de auditoría y asegurarse de que todos hayan sido resueltos.
  • 3)Verificar que el código desplegado coincida con la versión que fue auditada.
  1. Código de Fuente Abierta:
  • 1)Determinar si el código del proyecto es de código abierto, lo que permite a la comunidad y a los expertos en seguridad revisarlo y potencialmente encontrar problemas de seguridad.
  • 2)Investigar los antecedentes del equipo de desarrollo, su experiencia en blockchain y seguridad, y el nivel de transparencia e información pública disponible sobre el equipo.
  • 3)Programa de Recompensas por Errores: Buscar la presencia de un programa de recompensas por errores para incentivar a los investigadores de seguridad a reportar vulnerabilidades.
  1. Seguridad Financiera y Económica:
  • 1)Fondos Bloqueados: Examinar la cantidad de fondos bloqueados en contratos inteligentes, ya que cantidades mayores pueden indicar mayor confianza en el proyecto.
  • 2)Volumen de Operaciones y Liquidez: Evaluar el volumen de operaciones y la liquidez del proyecto; una liquidez baja puede aumentar el riesgo de manipulación de precios.
  • 3)Modelo Económico del Token: Evaluar la tokenómica, incluyendo la distribución de tokens, los mecanismos de incentivos y los modelos de inflación, y verificar si existe una concentración excesiva de tenencias de tokens, entre otras cosas.
  1. Seguridad Operativa y de Gestión:
  • 1)Mecanismos de Gobernanza: Comprender la estructura de gobernanza del proyecto, si cuenta con gobernanza descentralizada y si la comunidad puede votar sobre decisiones importantes. Analizar la distribución de los tokens de gobernanza y la concentración del poder de voto.
  • 2)Medidas de Gestión de Riesgos: Determinar si el proyecto cuenta con medidas de gestión de riesgos y planes de contingencia para hacer frente a posibles amenazas de seguridad y ataques económicos. Asimismo, considerar la transparencia del proyecto y la comunicación con la comunidad, como informes de progreso periódicos, actualizaciones de seguridad y participación proactiva con la comunidad.
  1. Percepción del Mercado y la Comunidad:
  • 1)Participación Comunitaria: Evaluar la actividad comunitaria y la base de usuarios del proyecto; una comunidad activa suele indicar un amplio apoyo al proyecto.
  • 2)Opinión en Medios y Redes Sociales: Analizar la recepción del proyecto en los medios de comunicación y las redes sociales para comprender las perspectivas de los usuarios y los expertos del sector.
  • 3)Alianzas e Inversores: Revisar si el proyecto cuenta con el respaldo de socios e inversores reconocidos, lo que puede otorgar credibilidad al proyecto, aunque no debe ser el único factor determinante de su seguridad.

P2: ¿Cómo deben los usuarios revisar los informes de auditoría y el estado de código abierto, entre otros aspectos?

Equipo de Seguridad de BlockSec: Para los proyectos auditados, el equipo del proyecto normalmente comparte los informes de auditoría de forma abierta a través de los canales oficiales. Estos informes de auditoría generalmente se encuentran en la documentación del equipo del proyecto, en los repositorios de código de Github y otros canales. Además, es necesario verificar la autenticidad de los informes de auditoría, incluyendo la verificación de la firma digital del informe de auditoría y el contacto con la empresa auditora para una confirmación secundaria.

Entonces, ¿cómo deben los inversores leer dichos informes de auditoría una vez que los tienen?

En primer lugar, verificar si el informe de auditoría ha sido elaborado por empresas de seguridad con alta reputación, como BlockSec, OpenZeppelin, Trail of Bits y otras empresas de auditoría líderes.

En segundo lugar, verificar si los problemas mencionados en el informe de auditoría han sido corregidos y, de no ser así, evaluar las justificaciones del proyecto. Distinguir entre vulnerabilidades válidas e inválidas, ya que los estándares de auditoría varían según la empresa. Dar prioridad a los hallazgos válidos y considerar la posibilidad de contratar a sus propios expertos en seguridad para una revisión independiente.

En tercer lugar, asegurarse de que el momento del informe de auditoría coincida con las actualizaciones recientes del proyecto. Verificar que la auditoría abarque todo el código en línea actual, ya que los proyectos a menudo auditan solo partes del mismo debido a restricciones de costos. Centrarse en si el código del protocolo principal fue incluido en la auditoría.

En cuarto lugar, asegurarse de que el momento del informe de auditoría coincida con las actualizaciones recientes del proyecto. Verificar que la auditoría abarque todo el código en línea actual, ya que los proyectos a menudo auditan solo partes del mismo debido a restricciones de costos. Centrarse en si el código del protocolo principal fue incluido en la auditoría.

En quinto lugar, confirmar si el código en línea del proyecto es de código abierto y coincide con el informe de auditoría. Por lo general, las auditorías se realizan sobre el código de Github, no sobre la versión desplegada. Si el código desplegado no es de código abierto o difiere significativamente del código auditado, esta discrepancia merece una atención especial.

En resumen, leer informes de auditoría es una tarea altamente profesional, y se recomienda incorporar expertos en seguridad independientes de terceros para brindar opiniones de consultoría durante el proceso.

Equipo de Seguridad de la Billetera OKX Web3: Los usuarios pueden acceder a los informes de auditoría de contratos inteligentes de proyectos DeFi y al estado de código abierto a través de plataformas oficiales o de terceros como OKLink. Los pasos comunes para revisarlos incluyen:

En primer lugar, buscar anuncios oficiales o sitios web. La mayoría de los proyectos DeFi de confianza mostrarán la información de su documentación relevante en su sitio web oficial. En la página de documentación del proyecto, generalmente hay un enlace a la página del informe de auditoría y la dirección del contrato desplegado por el equipo del proyecto bajo "Seguridad," "Auditoría" o "Dirección del Contrato." Además del sitio web oficial del equipo del proyecto, este generalmente muestra el informe de auditoría y la información de la dirección del contrato desplegado en las redes sociales oficiales como Medium, Twitter, etc.

En segundo lugar, después de leer el sitio web oficial del equipo del proyecto, puede utilizar el navegador OKLink para consultar la información de la dirección del contrato proporcionada por el equipo del proyecto y ver la información del código abierto del contrato desplegado en esa dirección en la columna "Contrato."

En tercer lugar, después de obtener el informe de auditoría del equipo del proyecto y la información del código abierto del contrato desplegado, puede comenzar a leer el informe de auditoría del equipo del proyecto. Al leer el informe de auditoría, preste atención a los siguientes puntos:

  • 1)Comprender la estructura del informe de auditoría y tener un concepto general del contenido del informe de auditoría. El informe de auditoría se divide aproximadamente en Introducción, Problemas Encontrados, Soluciones y Recomendaciones, y Resultados de la Auditoría.
  • 2)Al leer la Introducción, debemos prestar atención al alcance y los objetivos del informe de auditoría. El informe de auditoría generalmente marca el Github Commit Id de los archivos auditados, y debemos comparar si los archivos auditados en el informe de auditoría son consistentes con el código abierto desplegado en la cadena.
  • 3)Al revisar los apartados "Problemas Encontrados," "Soluciones y Recomendaciones" y "Resultados de la Auditoría," asegurarse de que el equipo del proyecto haya abordado las vulnerabilidades según las recomendaciones y haya realizado auditorías de seguimiento para confirmar que todos los problemas estén resueltos.
  • 4)Comparar múltiples informes. Para proyectos con múltiples auditorías, comparar los informes para hacer seguimiento de las mejoras de seguridad del proyecto.

P3: ¿Cuál es la importancia del historial de ataques informáticos y los programas de recompensas por errores en la evaluación de la seguridad de proyectos DeFi?

Equipo de Seguridad de la Billetera OKX Web3: El historial de ataques informáticos y los programas de recompensas por errores proporcionan cierto valor de referencia para la evaluación de seguridad de los proyectos DeFi, reflejado principalmente en los siguientes aspectos:

En primer lugar, el historial de ataques informáticos

  • 1)Revela vulnerabilidades históricas: El historial de ataques puede demostrar las vulnerabilidades de seguridad específicas que el proyecto ha tenido en el pasado, permitiendo a los usuarios comprender qué problemas de seguridad han sido explotados y si estos problemas han sido resueltos de manera exhaustiva.
  • 2)Evalúa las capacidades de gestión de riesgos: La forma en que el proyecto responde a los incidentes de seguridad históricos puede reflejar su capacidad para gestionar riesgos y manejar crisis. Un proyecto que responde positivamente, corrige vulnerabilidades de manera oportuna y compensa a los usuarios afectados generalmente se considera una opción de inversión más confiable y madura.
  • 3)Reputación del proyecto: Los problemas de seguridad frecuentes pueden disminuir la confianza de los usuarios en el proyecto, pero si el proyecto puede demostrar la capacidad de aprender de los errores y fortalecer las medidas de seguridad, esto también puede construir su reputación a largo plazo.

En segundo lugar, los programas de recompensas por errores

La implementación de programas de recompensas por errores en DeFi y otros proyectos de software es una estrategia importante para mejorar la seguridad y descubrir vulnerabilidades potenciales. Estos programas aportan múltiples aspectos de valor de referencia a la evaluación de seguridad de los proyectos:

  • 1)Mejora la auditoría externa: Los programas de recompensas por errores incentivan a los investigadores de seguridad de todo el mundo a participar en la auditoría de seguridad de los proyectos. Este enfoque de "crowdsourcing" para las pruebas de seguridad puede revelar problemas que las auditorías internas pueden pasar por alto, aumentando así las posibilidades de descubrir y resolver vulnerabilidades potenciales.
  • 2)Verifica la efectividad de las medidas de seguridad: A través de los programas de recompensas por errores, los proyectos pueden probar la efectividad de sus medidas de seguridad en la práctica. Si el programa de recompensas por errores de un proyecto ha estado funcionando durante mucho tiempo pero se han reportado pocas vulnerabilidades graves, esto puede ser un indicador de que el proyecto es relativamente maduro y seguro.
  • 3)Mejora continua de la seguridad: Los programas de recompensas por errores proporcionan un mecanismo de mejora continua. A medida que surgen nuevas tecnologías y métodos de ataque, los programas de recompensas por errores ayudan a los equipos del proyecto a actualizar y fortalecer sus medidas de seguridad de manera oportuna para garantizar que el proyecto pueda hacer frente a los últimos desafíos de seguridad.
  • 4)Establece una cultura de seguridad: Si un proyecto tiene un programa de recompensas por errores y el nivel de seriedad y actividad de ese programa puede reflejar la actitud del equipo del proyecto hacia la seguridad. Un programa de recompensas por errores activo demuestra el compromiso del proyecto con el establecimiento de una sólida cultura de seguridad.
  • 5)Mejora la confianza de la comunidad y los inversores: La presencia y efectividad de un programa de recompensas por errores puede demostrar a la comunidad y a los posibles inversores el énfasis del proyecto en la seguridad. Esto no solo puede mejorar la confianza de los usuarios, sino que también puede atraer más inversiones, ya que los inversores tienden a elegir proyectos que demuestran un alto sentido de responsabilidad en materia de seguridad.
Sign up for the latest updates
OFAC錫納羅亞卡特爾制裁:鏈上資金追蹤

OFAC錫納羅亞卡特爾制裁:鏈上資金追蹤

OFAC制裁了一個為錫納羅亞販毒集團洗錢芬太尼收益的網絡。我們使用MetaSleuth追蹤了六個被制裁地址的鏈上活動,發現資金幾乎全部流經中心化交易所的充值地址。

Zcash Orchard 健全性漏洞分析 | BlockSec 週報
Security Insights

Zcash Orchard 健全性漏洞分析 | BlockSec 週報

2026年6月1日當週,Zcash Orchard隱私池電路被公開披露存在嚴重健全性漏洞。該漏洞由halo2 ECC標量乘法組件缺少等式約束引起,可能導致透過雙重支付在Orchard池中無法被偵測地偽造ZEC。此漏洞自2022年5月Orchard啟用以來已存在逾四年,由研究員Taylor Hornby使用Anthropic Opus 4.8模型進行AI輔助安全審計時發現,並透過緊急網路升級(NU6.2)修補。本報告涵蓋技術根本原因、AI輔助發現過程、緊急應對時間軸及對ZKP生態系統的影響。

區塊鏈合規平台架構:2026年虛擬資產服務提供商監管指南

區塊鏈合規平台架構:2026年虛擬資產服務提供商監管指南

2026年虛擬資產服務商區塊鏈合規平台架構指南。涵蓋即時交易監控、鏈上風險評分、地址標記、可疑活動報告自動化、多司法管轄區規則支援及供應商評估標準。