El Banco de Auditoría Soroban: Fomentando un Ecosistema de Contratos Inteligentes Seguro

En septiembre, comenzamos a evaluar proyectos en el ecosistema Soroban para identificar candidatos para el programa, y nos pusimos en contacto para evaluar su preparación para una auditoría. Priorizamos los protocolos financieros que gestionan valor en cadena y que tienen el potencial de ser ampliamente utilizados, así como contratos de infraestructura y componentes que pueden ser incorporados en múltiples servicios ascendentes. En su mayoría, seleccionamos proyectos que participaron en el Stellar Community Fund este año y que tienen una presencia activa en el ecosistema. En todos los casos, seleccionamos proyectos que pudieron demostrar preparación.

Los contratos inteligentes, que permiten la ejecución de código proporcionado por el usuario en blockchains, existen en un ambiente extremadamente adverso. Están escritos en libros de contabilidad públicos, donde no hay cortafuegos de ningún tipo para protegerse contra hackers, y cualquiera puede escarbar en el código para descubrir errores y vulnerabilidades. Son inmutables, lo que significa que es difícil — si no imposible — cambiarlos una vez que están desplegados, y a menudo, manejan una gran cantidad de capital. Según la plataforma de recompensas por errores web3 Immunefi, se perdieron 335,574,150$ en 18 diferentes ataques a contratos inteligentes en noviembre de 2023 solo. Las auditorías ayudan a prevenir ataques identificando vulnerabilidades antes de que los contratos estén en vivo, por lo que son cruciales para el desarrollo de protocolos de contratos inteligentes seguros.

Desde el principio, Soroban ha incluido herramientas para mejorar la seguridad de los contratos inteligentes. Ofrece pruebas unitarias integradas, admite pruebas de integración para llamadas entre contratos y está construido en Rust de principio a fin, lo que significa que puede aprovechar el robusto conjunto de herramientas de seguridad que el ecosistema de Rust ha creado a lo largo de los años. Por ejemplo, las pruebas de fuzz, que inyectan un gran corpus de entradas inesperadas y han demostrado ser un enfoque extremadamente valioso para evaluar contratos inteligentes, están incorporadas en todo el stack de Soroban usando Cargo-fuzz, la biblioteca de pruebas de fuzz de Rust más popular.

Pero las herramientas por sí solas no son suficientes para aprovechar al máximo las características de seguridad de Soroban: los proyectos necesitan ayuda de expertos con experiencia en descubrir vulnerabilidades, expertos que sepan cómo poner a prueba los contratos y cómo usar el conjunto de herramientas al máximo efecto. El Banco de Auditoría introduce un grupo de esos expertos en el ecosistema, y les da un incentivo para perfeccionar sus habilidades en Soroban y Rust conectándolos con proyectos que necesitan auditorías. Este programa complementa el desarrollo y el apoyo de auditoría que la firma de seguridad web3 líder en la industria, Certora, está brindando al ecosistema. El enfoque en promover las mejores prácticas de seguridad coincide perfectamente con el diseño fundamental de Soroban, y ayuda a establecer altos estándares que pueden distinguir al ecosistema Stellar - y este programa es solo el comienzo.

Si has construido un protocolo financiero u oráculo en Soroban y estás interesado en participar en el programa Banco de Auditoría, por favor envía un correo electrónico a [email protected].

Si eres un creador buscando comenzar en Stellar, asegúrate de revisar el Stellar Community Fund, un programa de premios de aplicación abierta que apoya la innovación y el desarrollo. Y asegúrate de unirte al Stellar Dev Discord para actualizaciones sobre el Banco de Auditoría de Seguridad Soroban!