Compare las principales empresas de auditoría de contratos inteligentes

1. CertiK

CertiK lidera el mercado de la seguridad con más de 5000 clientes y cerca de 20 000 proyectos DeFi y NFT auditados. Esta empresa utiliza motores de verificación formal avanzados que calculan matemáticamente todos los estados posibles de un contrato para garantizar su total integridad lógica y solidez.

Según la experiencia de nuestros socios, CertiK ofrece la máxima transparencia a través de su panel de control Skynet, que supervisa 494 000 millones de dólares en valor de mercado para protocolos. La empresa clasifica los riesgos en cinco categorías distintas, desde críticos hasta informativos, lo que ayuda a los desarrolladores a priorizar sus parches de seguridad más urgentes.

Si se envía rápidamente, la ventaja práctica es la continuidad posterior a la auditoría: Skynet se posiciona como una capa de evaluación en tiempo real para proyectos, intercambios y carteras. Esto ayuda a los equipos a realizar un seguimiento de la deriva del riesgo tras las actualizaciones y los cambios de gobernanza, en lugar de tratar la auditoría como un PDF puntual.

Pros

• Métricas públicas sólidas para que los compradores puedan comparar.
• Combina el trabajo de auditoría con la puntuación continua de seguridad.
• Una amplia base de clientes es señal de un proceso de entrega repetible.

Contras

• La presencia de la marca puede generar expectativas de «auditoría de casillas».
• El seguimiento posterior a la auditoría sigue necesitando sus manuales internos de incidentes.
• Las métricas públicas no especifican el desglose cadena por cadena.

2. Hacken

Hacken es líder en seguridad de ecosistemas, habiendo protegido 430 000 millones de dólares en activos digitales en más de 1600 proyectos. Esta empresa gestiona la plataforma de recompensas por errores HackenProof, que cuenta con 45 000 investigadores que han identificado 25 000 vulnerabilidades y han ganado 15,7 millones de dólares en pagos.

Según las opiniones de los usuarios, Hacken destaca por tender puentes entre la Web3 y las finanzas tradicionales a través de su Trust Summit anual. Ofrecen auditorías especializadas de prueba de reservas para exchanges como OKX y Bybit, lo que garantiza que los depósitos de los usuarios se verifiquen matemáticamente y sean seguros.

En línea con las normativas MiCA y DORA, Hacken proporciona informes de cumplimiento normativo a clientes institucionales. Aunque la empresa mantiene unos estándares elevados, la clasificación de rekt señala un incidente de 7,8 millones de dólares en Warp Finance, que fue revisado previamente por su equipo de ingeniería de seguridad.

Pros

• Sólida combinación de auditorías y resultados de investigaciones sobre seguridad.
• Contadores públicos para evaluaciones y vulnerabilidades evitadas.
• Posicionamiento claro para públicos empresariales e institucionales.

Contras

• Las métricas son amplias; difíciles de aplicar a tu cadena exacta.
• La auditoría por sí sola no solucionará las deficiencias en materia de seguridad operativa señaladas en los informes.
• La visibilidad puede aumentar el escrutinio tras cualquier incidente.

3. Hashlock

Hashlock es una empresa australiana en rápido crecimiento que ha auditado más de 500 proyectos y ha protegido activos por valor de 4000 millones de dólares. La empresa utiliza un sistema de calificación de seguridad propio para evaluar la complejidad del código frente a las vulnerabilidades detectadas, lo que proporciona a los desarrolladores un veredicto inequívoco con un «tiempo de respuesta inferior a 3 horas».

El auditor destaca porque ninguno de sus proyectos totalmente auditados ha sufrido nunca un exploit exitoso. El equipo proporciona revisiones manuales y línea por línea del código de Ethereum, Solana y Polygon, centrándose principalmente en identificar fallos complejos en la lógica empresarial.

Una distinción práctica de Hashlock es la cobertura de riesgos más allá de la corrección del código. Los servicios de Hashlock hacen hincapié en la supervisión de amenazas y la supervisión en cadena, y también ponen de manifiesto el riesgo de la tokenómica como una capa paralela que la revisión típica del código puede pasar por alto cuando los incentivos crean vías de explotación.

Pros

• Historial impecable sin ningún tipo de vulnerabilidad en proyectos totalmente auditados.
• El volumen de auditorías públicas y la métrica «asegurada» son visibles.
• Ofrece revisiones manuales especializadas para protocolos complejos de DeFi y NFT.

Contras

• La supervisión sigue requiriendo reglas de escalado por su parte.
• Hay menos documentación pública disponible sobre su conjunto de herramientas automatizadas internas.
• Presencia limitada en los mercados asiáticos y europeos de seguridad blockchain.

4. Rastro de bits

Trail of Bits es una excelente opción para sistemas complejos en los que los contratos inteligentes interactúan con infraestructura fuera de la cadena. Su página de servicios de cadena de bloques hace hincapié en la revisión de «contratos inteligentes para componentes fuera de la cadena», que se adaptan a las superficies de ataque modernas, como redes de custodia, retransmisores y herramientas de administración.

Recomendado para infraestructuras complejas, Trail of Bits se centra en la ciencia profunda de la criptografía y el software de sistemas. Recientemente han mejorado la seguridad de la cadena de suministro de software mediante la implementación de PEP 740, lo que ha ayudado a proteger más de 270 000 distribuciones de paquetes para el ecosistema Python.

Según nuestra investigación, Trail of Bits es la mejor opción para proyectos que se parecen más a experimentos de investigación que a simples primitivas. Sin embargo, incluso su experiencia tiene límites; la tabla de clasificación rekt muestra un exploit de 3,3 millones de dólares en Raft, un proyecto que habían auditado anteriormente.

Pros

• Muy adecuado para revisiones combinadas de contratos e infraestructura.
• Publica y mantiene herramientas de análisis avanzadas (Manticore).
• Larga trayectoria operativa en comparación con la mayoría de los auditores Web3.

Contras

• Los totales de «activos asegurados» públicos no son una métrica de marketing fundamental.
• El estilo de compromiso puede ser más profundo y requerir más tiempo.
• No es la opción más rápida para auditorías de tokens sencillas y de bajo alcance.

5. Cyfrin

Cyfrin, fundada en 2023 por Patrick Collins, es líder del sector en seguridad orientada a la educación. Esta empresa ha conseguido rápidamente asegurar 40 000 millones de dólares en activos gracias a su modelo de auditoría de alto contacto, que da prioridad a enseñar a los desarrolladores a escribir código Solidity y Vyper más seguro.

Según las opiniones de los usuarios, la plataforma Cyfrin Updraft supone un gran cambio para la comunidad, ya que ofrece recursos gratuitos a más de 100 000 estudiantes. Las auditorías del equipo son muy transparentes y suelen incluir vídeos públicos en los que se explican las vulnerabilidades detectadas a una audiencia global.

Cyfrin es la empresa auditora líder para equipos que valoran una experiencia colaborativa y práctica. Aunque es más reciente que empresas como OpenZeppelin, su rápido crecimiento y la profunda confianza de la comunidad la convierten en un elemento básico para la seguridad DeFi en 2026.

Pros

• Las auditorías competitivas reúnen a muchos revisores en una base de código.
• Comunica públicamente los resultados a escala TVL en publicaciones recapitulativas.
• La estrecha relación con la educación facilita la contratación y la mejora de las competencias internas.

Contras

• El TVL asegurado no es lo mismo que el código auditado implementado de forma segura.
• Las auditorías competitivas requieren una sólida gestión de la clasificación y la corrección.
• La profundidad de los estudios de casos públicos varía según el protocolo y el alcance.

6. Quantstamp

Quantstamp ha protegido más de 200 000 millones de dólares en valor y ha completado más de 1100 proyectos desde su creación. Esta empresa es independiente de cualquier cadena de bloques y proporciona seguridad a Ethereum, Solana, Flow y Cardano, además de haber recibido múltiples subvenciones de la Fundación Ethereum para la investigación sobre el escalado L2.

Quantstamp, la mejor opción global para DeFi de grado institucional, ha conseguido clientes importantes como Prysm y Teku. Sus informes son conocidos por su profundidad, ya que abarcan cuestiones como la dependencia del orden de las transacciones y los sellos de tiempo. Han identificado más de 447 millones de dólares en pérdidas a través de sus diversas auditorías.

El equipo de Quantstamp emplea una pila de seguridad completa que incluye ejecución simbólica y análisis de cobertura de pruebas. Sin embargo, figuran en la lista de líderes de rekt por las auditorías de Alpha Finance y Rari Capital, que sufrieron exploits por un total de más de 47,5 millones de dólares en fondos de usuarios.

Pros

• Alto volumen de auditorías públicas en muchos ecosistemas.
• Señales claras de experiencia a nivel de protocolo (clientes ETH2).
• Amplio archivo de informes públicos para evaluar la calidad.

Contras

• Una amplia cobertura puede parecer estandarizada para diseños especializados.
• Las métricas de «activos protegidos» no garantizan resultados sin incidentes.
• El comprador debe asegurarse de que el alcance incluya los riesgos administrativos y de implementación.

7. Halborn

Halborn es una empresa de seguridad ofensiva de élite compuesta por hackers éticos que simulan ataques del mundo real. Esta empresa trata cada proyecto como una prueba de penetración, yendo más allá de la revisión de código para incluir simulaciones de ingeniería social y phishing para más de 600 clientes globales.

El siguiente en nuestra lista, Halborn, ha asegurado 1 billón de dólares en activos para redes importantes como Polygon y Avalanche. Su enfoque proactivo se centra en toda la superficie de ataque, incluidas las API web y móviles, lo que garantiza que ningún punto de entrada quede sin supervisar o expuesto.

Halborn ofrece el entorno de pruebas más agresivo disponible en el espacio Web3. A pesar de su rigor, aparecen en la clasificación rekt de proyectos como MonoX y Seneca Protocol, que sufrieron pérdidas de 31,4 millones y 6,4 millones de dólares, respectivamente.

Pros

• Las certificaciones y los marcos respaldan los requisitos de seguridad institucional.
• Publica métricas «por números» útiles para las compras.
• Amplio alcance de la garantía más allá de los contratos.

Contras

• La amplitud de la empresa puede aumentar la complejidad del compromiso.
• Las evaluaciones de gran alcance exigen una sólida coordinación interna.
• Las métricas no especifican qué cadenas impulsan el «valor protegido».

8. SlowMist

SlowMist es una empresa líder en el mercado asiático, que ha auditado más de 1000 proyectos desde 2018. Esta empresa se especializa en inteligencia sobre amenazas a través de su plataforma MistTrack, que rastrea fondos robados y ofrece servicios contra el lavado de dinero para intercambios y custodios digitales.

Recomendado para la seguridad de los intercambios, SlowMist tiene un profundo conocimiento del entorno de amenazas en la región Asia-Pacífico. Proporcionan supervisión las 24 horas del día, los 7 días de la semana, de la actividad maliciosa en la cadena, lo que ayuda a los protocolos a identificar y bloquear las transacciones sospechosas antes de que puedan finalizarse en el libro mayor.

SlowMist también afirma que fue la primera empresa china en entrar en la lista de recomendaciones de auditoría de seguridad de contratos inteligentes de Etherscan. Para los lectores, eso significa visibilidad en los canales de herramientas para desarrolladores, donde muchos equipos buscan auditores durante los lanzamientos en momentos críticos.

Pros

• La lista explícita de cobertura multichain reduce la ambigüedad del comprador.
• Fuerte alineación con la información sobre amenazas y las lecciones aprendidas de los incidentes.
• Elevado volumen declarado de contratos auditados.

Contras

• El estilo de los informes públicos puede variar según las líneas de servicio.
• Las afirmaciones sobre «listas recomendadas» son difíciles de evaluar de forma objetiva.
• Los compradores deben confirmar los resultados esperados para el seguimiento posterior a la auditoría.

9. OpenZeppelin

OpenZeppelin es el estándar de referencia en materia de seguridad EVM, ya que mantiene las bibliotecas de código abierto más utilizadas del mundo. Esta empresa ha protegido más de 50 000 millones de dólares en TVL y ha revisado más de un millón de líneas de código en miles de proyectos y más de 30 cadenas.

Ideal para infraestructuras básicas, OpenZeppelin ofrece la plataforma Defender para operaciones de protocolo seguras y supervisión automatizada. Han identificado más de 700 vulnerabilidades críticas y graves a través de sus auditorías, lo que ha ayudado a protocolos como Compound y Aave a mantener altos niveles de seguridad para los usuarios.

La asociación de OpenZeppelin con la Fundación Ethereum los convierte en la marca más fiable para la implementación de contratos estándar. La clasificación de rekt menciona un incidente de 6 millones de dólares en Audius, lo que demuestra que incluso las fundaciones que cumplen con los estándares del sector requieren una vigilancia y un control constantes.

Pros

• La verificación de la implementación reduce los errores de configuración y las desviaciones posteriores a la auditoría.
• Las estadísticas públicas de auditoría anual ayudan a evaluar la eficacia.
• Una sólida orientación para un SDLC seguro más allá de la auditoría.

Contras

• La demanda puede limitar la programación durante las temporadas altas de lanzamiento.
• El mejor valor requiere una colaboración profunda y una sólida preparación en ingeniería.
• El soporte multichain aún necesita modelos de amenazas específicos para cada cadena.

10. Diligencia de Consensys

Consensys Diligence es la división dedicada a la seguridad del ecosistema Consensys, que impulsa MetaMask e Infura. Esta empresa ha descubierto más de 200 problemas de seguridad y realiza más de 10 000 análisis al mes a través de su escáner de seguridad automatizado MythX para proyectos Ethereum.

Ideal para desarrolladores centrados en Ethereum, Consensys Diligence ofrece revisiones manuales de alta calidad junto con herramientas como Scribble para pruebas basadas en propiedades. Han asegurado protocolos importantes como Uniswap y 0x, centrándose en la corrección lógica y maximizando la eficiencia del gas para aplicaciones descentralizadas de gran volumen.

En nuestra opinión, su integración con la amplia gama de productos de Consensys proporciona un ciclo de vida de seguridad sin fisuras para los desarrolladores. Sin embargo, la tabla de clasificación de rekt muestra que auditaron Hedgey Finance, que perdió 44,7 millones de dólares, lo que pone de relieve la dificultad que sigue existiendo para garantizar la seguridad de la compleja lógica financiera en Web3.

Pros

• Enfoque de fuzzing potente basado en herramientas para sistemas con gran cantidad de invariantes.
• Gran biblioteca pública de auditoría para la debida diligencia.
• La estructura de presentación de informes suele incluir directrices claras sobre mitigación.

Contras

• La postura centrada en EVM puede ser limitante para las pilas que no son EVM.
• Las ventajas de las herramientas dependen de definiciones maduras de pruebas/invariantes.
• Las auditorías públicas más antiguas pueden no coincidir con los patrones de actualización modernos.

Explicación sencilla de los contratos inteligentes

Los contratos inteligentes son acuerdos digitales que se ejecutan automáticamente y se almacenan en una cadena de bloques, y que se activan de forma automática cuando se cumplen determinadas condiciones. Estos programas eliminan la necesidad de intermediarios centralizados, como bancos o abogados, al hacer cumplir las normas mediante un código inmutable.

La lógica de estos contratos facilita transacciones entre pares por valor de miles de millones en DeFi, juegos y gobernanza. Dado que son permanentes una vez implementados, cualquier error en el código puede provocar pérdidas financieras irreversibles para todos los participantes involucrados.

A diferencia del software tradicional, los contratos inteligentes son completamente visibles en exploradores de blockchain como Etherscan, lo que permite a cualquiera ver cómo funcionan y qué direcciones de monederos criptográficos interactúan con ellos. Un contrato de staking, por ejemplo, distribuye recompensas a lo largo del tiempo, mientras que un contrato puente transfiere activos entre cadenas.

La mayoría de los fallos en los contratos inteligentes no son «hackeos criptográficos místicos», sino fallos de software bajo presión adversa. Los atacantes abusan de casos extremos en matemáticas, autorizaciones, actualizaciones o entradas de oráculos, y luego extraen valor más rápido de lo que los humanos pueden responder.

¿Qué es una auditoría de contratos inteligentes?

Una auditoría de contratos inteligentes es una revisión de seguridad profesional, línea por línea, del código fuente de un protocolo realizada por expertos externos. Este proceso identifica errores y fallos lógicos antes de la implementación, lo que garantiza que el contrato funcione según lo previsto por los desarrolladores.

Los auditores buscan vulnerabilidades explotables, decisiones de diseño peligrosas y controles que faltan, y luego documentan los hallazgos con su gravedad, escenarios de prueba de concepto y orientación para su corrección. Hay dos formas principales de auditar un contrato inteligente: manualmente y mediante automatizaciones.

1. Auditorías manuales de revisión de código.

Las auditorías manuales se centran en el razonamiento humano: los auditores leen los contratos línea por línea, trazan los límites de confianza y validan las invariantes. Este enfoque detecta fallos en la lógica empresarial, rutas de autorización defectuosas y riesgos sutiles de actualización que los escáneres automatizados suelen pasar por alto.

Los revisores también validan cómo interactúan los módulos: enrutadores, proxies, puentes, guardianes y roles de administración. Las buenas auditorías manuales incluyen modelos de amenazas, descripciones de ataques y verificación de correcciones, no solo una lista de problemas de linting.

Los expertos simulan casos extremos y escenarios de ataque reales para garantizar que el contrato siga siendo resistente ante una fuerte presión financiera. Este proceso ofrece el máximo nivel de garantía a los inversores y es obligatorio para cualquier proyecto que gestione un capital significativo.

2. Auditorías automatizadas y con métodos formales.

Las auditorías automatizadas utilizan análisis estáticos, fuzzing y pruebas invariantes para explorar rápidamente muchas rutas de ejecución. El fuzzing ayuda a encontrar errores dependientes del estado, mientras que el análisis estático señala patrones de vulnerabilidad conocidos en grandes bases de código.

Los métodos formales van más allá al demostrar propiedades bajo un modelo definido. Cuando se aplican correctamente, reducen la ambigüedad en componentes críticos como la contabilidad de bóvedas o las máquinas de estados puente, pero requieren especificaciones precisas y supuestos de modelo cuidadosos.

Las auditorías automatizadas utilizan escáneres de software especializados para identificar patrones de vulnerabilidad comunes y errores de codificación estándar en cuestión de minutos. Herramientas como Slither o MythX detectan rápidamente reentradas, desbordamientos de enteros y valores de retorno sin comprobar que los ojos humanos podrían pasar por alto accidentalmente.

Aunque estas herramientas son muy eficaces, carecen del contexto necesario para identificar fallos complejos en la lógica empresarial o vectores de ataque económicos. Los desarrolladores utilizan estos análisis durante la fase de codificación para detectar errores de bajo nivel antes de contratar a una empresa profesional.

Cómo auditar un contrato inteligente

Seguir una metodología rigurosa al auditar los contratos inteligentes garantiza que todas las vulnerabilidades potenciales se identifiquen y se corrijan antes de que el contrato inteligente se implemente en una cadena de bloques activa.

Los equipos de seguridad siguen estos pasos específicos durante una revisión profesional:

1. Revisión de la documentación: los ingenieros estudian el informe técnico y las especificaciones técnicas para comprender la lógica empresarial prevista y la funcionalidad básica del protocolo.
2. Análisis automatizado: los técnicos ejecutan el código base a través de múltiples escáneres de seguridad, como Slither, para identificar rápidamente errores comunes y vulnerabilidades estándar.
3. Inspección lógica manual: Los auditores sénior revisan el código línea por línea para detectar fallos complejos que las herramientas automatizadas no pueden encontrar.
4. Categorización de vulnerabilidades: El equipo clasifica todos los problemas identificados según su gravedad, desde riesgos críticos para la seguridad hasta recomendaciones menores sobre el estilo del código.
5. Entrega del informe inicial: Los auditores proporcionan un documento detallado en el que se describen todos los errores detectados y se ofrecen recomendaciones técnicas específicas para corregir cada fallo de seguridad.
6. Fase de corrección: los desarrolladores utilizan los comentarios de la auditoría para corregir las vulnerabilidades y mejorar la seguridad general del código del contrato inteligente.
7. Verificación final: Los expertos en seguridad vuelven a examinar el código actualizado para asegurarse de que todas las correcciones se hayan implementado correctamente y no se hayan introducido nuevos errores.

Cómo elegir un auditor de contratos inteligentes

Elegir un auditor es una cuestión de gestión de riesgos: estás comprando tiempo, experiencia y responsabilidad antes de que los atacantes tengan la oportunidad de actuar en la red principal. Seleccionar al socio adecuado requiere una evaluación exhaustiva de la experiencia técnica, el rendimiento pasado y las necesidades específicas de seguridad de tu proyecto de cadena de bloques.

Paso 1: Evaluar los conocimientos técnicos

Revise el historial de la empresa con su lenguaje de programación específico y la complejidad de la arquitectura DeFi que está creando para sus usuarios.

Factores clave a tener en cuenta durante esta evaluación:

1. Dominio del lenguaje: Confirme que el equipo tiene una amplia experiencia con Solidity, Rust o Vyper.
2. Herramientas avanzadas: Asegúrese de que utilicen regularmente herramientas de verificación formal y pruebas basadas en propiedades.
3. Conocimientos especializados: Busca experiencia en áreas específicas como puentes entre cadenas o NFT.
4. Contribuciones de código abierto: Identificar empresas que contribuyen activamente a la investigación global sobre seguridad blockchain.

Paso 2: Analizar el historial de seguridad

La investigación de auditorías anteriores y de cualquier incidente posterior a la implementación es fundamental para comprender la fiabilidad del proceso de revisión de seguridad interna de la empresa.

Evalúa estas métricas para medir su fiabilidad:

1. Activos totales garantizados: considere el valor total de mercado de todos los protocolos protegidos por la empresa.
2. Divulgación de incidentes: Investigar si algún proyecto auditado fue explotado debido a errores de seguridad no detectados.
3. Cartera de clientes: compruebe si los líderes del sector y las principales bolsas confían en sus servicios de seguridad.
4. Transparencia: Compruebe si la empresa publica informes públicos detallados de todas las auditorías realizadas.

Paso 3: Evaluar los plazos de entrega

Los plazos de los proyectos suelen determinar la elección del auditor, ya que algunas empresas de primer nivel tienen largas listas de espera para sus servicios de seguridad.

Tenga en cuenta estos puntos en relación con la programación y la velocidad:

1. Disponibilidad del auditor: Pregunte cuál es la fecha más temprana posible para comenzar una revisión manual completa.
2. Tiempo de respuesta: Calcule cuánto tiempo llevarán las fases de revisión inicial y verificación final.
3. Protocolo de comunicación: Evalúe la rapidez con la que responden a las consultas técnicas durante la fase de evaluación.
4. Asistencia de emergencia: determine si ofrecen servicios de respuesta rápida para parches de seguridad urgentes.

Paso 4: Comparar estructuras de precios

La seguridad es una inversión, pero los equipos deben equilibrar el coste de una auditoría de alta calidad con su presupuesto disponible para desarrollo y marketing.

Los factores que influyen en el costo total incluyen:

1. Complejidad del código: Las bases de código más grandes con una lógica compleja aumentan significativamente el precio total de la auditoría.
2. Nivel de gravedad: Los proyectos que requieren verificación matemática formal siempre tienen un coste más elevado.
3. Reputación de la marca: Las empresas líderes consolidadas en el sector cobran más que las empresas de seguridad más nuevas y especializadas.
4. Contratos de mantenimiento continuado: algunas empresas ofrecen seguridad continua como servicio para proyectos con actualizaciones frecuentes.

Vulnerabilidades comunes de los contratos inteligentes

La mayoría de los exploits de contratos inteligentes siguen patrones repetitivos, por lo que aprender los más comunes te ayuda a diseñar revisiones que los detecten a tiempo.

Estas son las vulnerabilidades más comunes en 2026:

• Ataques de reentrada: Un contrato se llama a sí mismo repetidamente antes de terminar su ejecución. Este fallo permitió los exploits The DAO y Minterest.
• Fallos en el control de acceso: la falta o la configuración incorrecta de los permisos de administrador permitieron el acceso no autorizado, como se vio en el exploit de Euler Finance, que supuso una pérdida de 240 millones de dólares.
• Llamadas externas no controladas: Cuando los contratos llaman a otros sin una gestión de errores adecuada, se pueden perder fondos. El hackeo del monedero multisig de Parity en 2017 es un buen ejemplo.
• Manipulación de oráculos: cuando los precios dependen de oráculos inseguros, los atacantes pueden manipular el valor. Mango Markets perdió 100 millones de dólares precisamente por esta debilidad.
• Exploits de préstamos instantáneos: Los préstamos instantáneos sin garantía se utilizaron en Alpha Homora y Harvest Finance para drenar fondos en una sola transacción.
• Abuso de actualización de proxy: una lógica de actualización mal protegida permitió cambios maliciosos en los contratos. ZKasino perdió 33 millones de dólares debido a una actualización no autorizada.
• Centralización de privilegios: Ankr perdió 100 millones de dólares cuando una clave privada que controlaba los permisos de acuñación se vio comprometida debido a una descentralización deficiente.
• Vulnerabilidades de los puentes entre cadenas: el hackeo de 325 millones de dólares a Wormhole fue el resultado de la falta de verificación de firmas en el código de su puente entre Solana y Ethereum.

Comprender estos vectores de ataque frecuentes permite a los desarrolladores escribir código más seguro y ayuda a los auditores a centrar sus esfuerzos en las áreas de alto riesgo.

Reflexiones finales

Seleccionar una empresa de seguridad de contratos inteligentes de buena reputación es la decisión más importante para cualquier proyecto de cadena de bloques que aspire al éxito a largo plazo y a la confianza de los usuarios.

Aunque las auditorías no pueden garantizar una seguridad absoluta, reducen significativamente la probabilidad de pérdidas financieras catastróficas debidas a vulnerabilidades del código que se pueden prevenir.

Los inversores deben dar prioridad a los protocolos que demuestren su compromiso con la seguridad mediante múltiples revisiones independientes y una supervisión continua de sus sistemas.