CUBO: Resultados finales de la Auditoría CertiK (de V2).

https://www.certik.com/projects/cubo : siga el enlace y presione el botón negro “Ver PDF” para obtener más información

CUBO, el ingenioso proyecto de Nodos de liquidez destinado a la generación de ingresos pasivos (máquinas de hacer dinero), que venimos cubriendo desde casi su nacimiento en el canal, acaba anunciar la finalización, por fin, de su Auditoría de seguridad CertiK. Y bueno, las noticias no podían ser mejores. Aunque bueno, como todo en la vida, siempre hay cosas menos buenas que otras. Así que si te interesa saber todos los detalles, no lo dudes. Sigue leyendo que te lo cuento!.

¿Qué es una auditoría?

En criptografía, prácticamente cualquier persona con unos determinados conocimientos en programación puede crear un protocolo o un token. De hecho, muchos lo hacen. A veces escriben su propio código original. Otras veces copian o “bifurcan” el de otra persona/proyecto. Cada desarrollador es diferente y, como cualquier personaje, puede tener intenciones maliciosas, tener poca conocimientos limitados o simplemente cometer errores no intencionados. Dejando brechas de seguridad, que otros actores maliciosos con más experiencia aprovecharían para robar las potenciales ganancias/inversiones de los usuarios de dicho proyecto. 

Para ello, los proyectos serios como CUBO (y otros muchos) contratan los servicios de empresas especializadas en seguridad, para realizar una Auditoría. Que no es otra cosa que el análisis exhaustivo el código del protocolo en búsqueda de posibles vulnerabilidades, lo cual se refleja en un documento, emitido con por un tercero (el Auditor), supuestamente independiente e imparcial, en el que se reflejan los resultados de dicho análisis.

La empresa Auditora: CertiK

Antes de las empresas de auditoría, no había una manera fácil de infundir confianza en los inversores potenciales. A menos que tuvieran algún conocimiento en desarrollo y pudieran descifrar el código para encontrar vulnerabilidades o errores potenciales que podrían explotarse. Hoy en día, empresas como CertiK, ofrecen servicios para ayudar a los equipos legítimos a llegar a nuevas vías de inversores con menor tolerancia al riesgo. Cooperar con una empresa de auditoría demuestra transparencia, honestidad y voluntad de estar abiertos a realizar las mejoras necesarias para proteger el proyecto y su comunidad.

Auditoría del código de V2. ¿Pero si estamos ya en V3?…. WFT

La auditoría se contrató para analizar el contrato V2 de CUBO. Pero como sabrás, y si no lo sabes te recomiendo leer ESTE ARTÍCULO, desde el pasado 28 de Marzo de 2022 CUBO migró su contrato a la V3. Pero tranquilo, esto no significa que la auditoría sea inútil, ya que refuerza la confianza en la capacidad del desarrollador. V3 ha sido inspeccionado y probado extraoficialmente por constructores de contratos imparciales, por lo que estamos seguros de que es igual o más seguro que V2. Dicho esto, desde CUBO se han comprometido a someter también a Auditoría CertiK la V3 de su contacto, la cual está previsto que comience ahora que recién acaban de finalizar y publicar los resultados de V2.

¿Cuál es el alcance de la Auditoría de V2?

Copiaremos esto directamente del documento de auditoría para mayor claridad:

El proceso de auditoría presta especial atención a las siguientes consideraciones:

– Probar los contratos inteligentes contra vectores de ataque comunes y no comunes.

– Evaluar el código base para garantizar el cumplimiento de las mejores prácticas actuales y los estándares de la industria.

– Asegurar que la lógica del contrato cumpla con las especificaciones e intenciones del cliente.

– Estructura e implementación de contratos de referencia cruzada con contratos inteligentes similares producidos por líderes de la industria.

– Revisión manual minuciosa línea por línea de todo el código base por parte de expertos de la industria.

La evaluación de seguridad arrojó resultados que iban desde críticos hasta informativos.

Recomendamos abordar estos hallazgos para garantizar un alto nivel de estándares de seguridad y prácticas de la industria. Sugerimos recomendaciones que podrían servir mejor al proyecto desde la perspectiva de la seguridad:

– Mejorar las prácticas generales de codificación para mejores estructuras de códigos fuente;

– Agregar suficientes pruebas unitarias para cubrir los posibles casos de uso;

– Proporcionar más comentarios por cada función para facilitar la lectura, especialmente los contratos que se verifican en público;

– Brindar más transparencia sobre las actividades privilegiadas una vez que el protocolo esté activo.

No todo está correcto: Una No Conformidad MAYOR!!!

Como te decíamos anteriormente, no todo en el reporte de resultados está conforme. Si revisas el PDF con los resultados públicos de la Auditoría, seguro que saltan tus alarmas cuando observes que existe una No Conformidad (en adelante NC) Mayor. Pero tranquilo, no te alarmes; esta NC en cuestión se relaciona con los privilegios de propietario de Bruno. Estos se han utilizado estrictamente para mintear nodos para los trabajadores del equipo central y para el sorteo semanal de nodos. Si bien el protocolo está en sus inicios, es extremadamente útil tener estos privilegios para realizar cambios vitales cuando sea necesario. Como Bruno es el único desarrollador, las situaciones de emergencia podrían tardar demasiado en resolverse y las nuevas incorporaciones también en implementarse sin esto.

Sea como sea es algo preocupante. Por lo que una de las medidas que se ha decidido adoptar por parte del equipo es la implementación del bloqueo de tiempo y firmas múltiples en la billetera del equipo. Lo que, sin dudas, es un paso apropiado para disipar cualquier duda. Aunque el desafío del uso de firmas múltiples en el contrato DAO y Cubo podrían resultar complicado en términos de mantenimiento, se está trabajando en encontrar vías para resolver esto en el futuro cercano.

Otras 9 NC menores….

Pero no solo una única NC Mayor destaca en el reporte. En términos de seguridad, hay otros 9 NC menores relacionados principalmente con el estilo de codificación de un desarrollador. Estas NC, para que te hagas una idea, hacen alusión por ejemplo al uso de la coma en lugar de puntos, para diferenciar decimales dentro del código. Lo que tiene más que ver con las diferencias entre el inglés británico y americano, que con nada relativo a seguridad informática. Pero siempre parece bueno mantener uniformidad en el código. Por lo que no consideramos superflua la inclusión de estos comentarios, que una vez solventado, aumentarán el valor de dicho código.

Otras NC se derivan del uso de diferentes versiones de Solidity. Lo que podrían ser un problema si se interactúa con contratos fuera del ecosistema Cubo y Polygon. Por ahora, esto no plantea ningún problema, pero en el futuro, si se decide ampliar la interoperabilidad entre distintas cadenas cruzadas, se tendrán revisar y adaptar estas funcionalidades. Ya que de otro modo, no sería operativo, o tendría graves problemas a la larga.

¿Es CUBO vulnerable?

Según los resultados de la auditoría, la mayor preocupación surge de los privilegios de propiedad. Creemos que esto sería mucho más problemático si el desarrollador fuera anónimo, sin embargo, Bruno es un personaje público que ha estado dando la cara en múltiples AMA y videos de YouTube. Además de haber proporcionado toda su documentación legal a Assure DeFi para obtener un certificado KYC. Después de construir una comunidad tan brillante y un protocolo exitoso, sería bastante miope de su parte arriesgarlo todo por algún beneficio a corto plazo.

Las NC menores no son problemas directos para la seguridad o la seguridad de los fondos. Más aún, son arreglos de menor importancia que harían que el contrato fuera más fácil de interpretar por otros desarrolladores, o agilizarían las funciones para reducir el uso de gas.

¿Qué valor aporta la Auditoría a CUBO?

Para los inversionistas, la auditoría debe aportar tranquilidad y confianza al saber que un equipo externo, independiente e imparcial, ha encontrado que el contrato tiene solo un defecto de gran importancia. El cual ya está siendo solucionado. Esto significa que el escrutinio exhaustivo de CertiK no pudo encontrar ninguna área en el contrato que sea vulnerable a fuerzas externas, o que represente una debilidad para CUBO. Por lo que puedes estar seguro, en este sentido, que si has invertido o decides invertir en el futuro, tus fondos están seguros.

¿Qué tan confiable es CertiK?

Desde 2017, el equipo de CertiK ha auditado alrededor de 200 000 líneas de código y se considera una de las empresas de auditoría de seguridad más respetadas en criptografía. Luego de una inversión de Binance Labs en CertiK, al año siguiente Binance, el intercambio centralizado de mayor volumen del mundo, inició una asociación con la compañía para verificar los contratos de cualquier criptomoneda que figure en su intercambio. En el mercado existen otras muchas empresas Auditoras para elegir, pero en CUBO se decidieron por CertiK, por ser la más reconocida y por ofrecer la mejor relación calidad-precio, según afirmaron. 

La cadena de bloques CertiK y la plataforma de verificación de contratos inteligentes son administradas por un equipo con experiencia en ingeniería de software en Google y Facebook, y profesores de verificación formal de Yale y la Universidad de Columbia. Su producto único automatiza la búsqueda de inseguridades en el código del contrato con el fin de localizar posibles fugas para su explotación. Que luego se sigue mediante comprobaciones manuales para una simulación completa de fortalezas y debilidades.

Transparencia CUBO: ¿Cuánto costó, cómo se pagó y cuánto duró la Auditoría?

La auditoría no fue gratuita y se pagó con la asignación de marketing (es decir, del 10 % de los ingresos de los nodos) en lugar de usar fondos de tesorería. El coste final fue de $25.000. 

Según afirman desde el equipo de CUBO, y es algo con lo que estoy totalmente de acuerdo, el valor de la auditoría va mucho más allá de lo que se pagó por ella, y es el valor añadido y la diferencia que aporta al proyecto CUBO de su competencia, que en su mayoría optan por no realizar una auditoría de seguridad. 

Un tema algo discutido en las redes ha sido el tiempo de duración de la Auditoría. Puede parecer que ha llevado mucho tiempo completarla, ya que se solicitó a principios de febrero. Por lo que tardó en completarse más de 6 semanas. Pero las cosas bien hechas, llevan su tiempo. CertiK tiene un proceso meticuloso para pasar sus inspecciones. De hecho, su trabajo no solo se basa en analizar rigurosamente el código. También requieren videollamadas con el desarrollador, y tiempos para realizar y validar los KYC más exhaustivos que se conocen. En definitiva, según apunta por la euforia del equipo de CUBO y por la comunidad que estamos en este proyecto, la espera ha valido la pena. Ya que ha valido para callar muchas bocas y aportar tranquilidad a todos aquellos que tenían dudas, en lo que constituye otra muesca más en el arco de la autenticidad de CUBO.

Sin más, esto es todo por hoy. Espero que este artículo te resulte útil.

Mil Gracias por leernos!!. 👋😄

COLABORA CON EL CANAL

Recuerda que comparto todo este trabajo de manera gratuita. Si quieres mostrar tu agradecimiento el canal lo único que te pido es que te registres en la newsletter y a nuestro✅✅ Canal de YouTube.✅✅

Otras maneras de colaborar con nosotros de manera indirecta es comprando los artículos comentados, o bien registrándote en los exchanges y distintas plataformas, a través de los enlaces que hemos dejado en los artículos.

Si aún así quieres mostrar más agradecimiento puedes realizar una donación en paypal o criptomonedas en el apartado “DONACIONES” que encontrarás en la página de inicio de nuestra web.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *