a16z Crypto ha instado a los protocolos de finanzas descentralizadas a pasar de 'code is law' a 'spec is law' para potenciar la seguridad ante el aumento de exploits. En una publicación del 11 de enero, el investigador senior Daejun Park abogó por especificaciones estandarizadas y comprobaciones de invariantes para prevenir hackeos. Este enfoque busca madurar el sector de 168.000 millones de dólares codificando garantías de seguridad de forma estricta.
Las finanzas descentralizadas, o DeFi, se enfrentan a amenazas continuas por exploits en el código, con hackers robando más de 649 millones de dólares el año pasado, según la firma de seguridad blockchain Slowmist. Incluso protocolos establecidos como Balancer, en funcionamiento en Ethereum desde 2021, sufrieron una pérdida de 128 millones de dólares en noviembre debido a una vulnerabilidad en el código. Los desarrolladores están cada vez más preocupados por los hackers que utilizan inteligencia artificial para identificar debilidades. En respuesta, Daejun Park de a16z Crypto propuso superar los métodos reactivos de 'parchear después del hack'. Recomendó incorporar seguridad mediante especificaciones estandarizadas que limiten las acciones del protocolo y reviertan automáticamente las transacciones infractoras. 'Casi todos los exploits hasta la fecha habrían activado una de estas comprobaciones durante la ejecución, deteniendo potencialmente el hackeo', escribió Park. 'Así, la idea popular de “code is law” evoluciona hacia “spec is law”.' Este concepto, conocido como ejecución en tiempo de ejecución o comprobaciones de invariantes, está ganando terreno. Protocolos como Kamino, una plataforma de préstamos en Solana, integraron comprobaciones con Certora Prover en marzo de 2023. El XRP Ledger, que soporta el token XRP de 120.000 millones de dólares, también las ha implementado para protegerse contra errores no detectados. 'Los invariantes no deberían dispararse, pero garantizan la integridad del XRP Ledger frente a errores aún por descubrir o incluso por crear', afirmaron sus desarrolladores. Sin embargo, los expertos advierten de que las comprobaciones de invariantes no son infalibles. Gonçalo Magalhães, jefe de seguridad en Immunefi, señaló que podrían elevar las tarifas de transacción, disuadiendo a usuarios en un mercado sensible a los costes. 'No es la bala de plata', dijo. Felix Wilhelm, de Asymmetric Research, añadió que diseñar comprobaciones efectivas es complicado, ya que pueden activarse falsamente en operaciones normales o no detener ataques sofisticados. Aunque útiles para detectar anomalías, como flujos de fondos inusuales, suelen mitigar más que prevenir el daño. Las ideas de Park resaltan el impulso de DeFi hacia una seguridad principled para fomentar el crecimiento, aunque quedan obstáculos en su implementación.
