La mayoría de los proyectos de criptomonedas abordan la seguridad de manera inversa: construyen primero, aseguran después. Profundicemos en qué y por qué cada proyecto debería implementar ANTES de obtener una auditoría, utilizando una analogía de pirámide de seguridad.

2/8 Nivel 1 (Fundación): Revisión de código Este nivel proporciona el mayor impacto por el menor costo. Los equipos deben implementar revisiones entre pares a través de flujos de trabajo adecuados de git y evitar el síndrome del "héroe de pila completa" donde una persona maneja todo. Múltiples pares de ojos en el código previenen más vulnerabilidades que las auditorías por sí solas.

3/8 Nivel 2: Pruebas unitarias Tener una cobertura de pruebas del 90-100% antes de cualquier auditoría. Escribe pruebas en un lenguaje diferente al de tu implementación para evitar replicar errores lógicos. Prueba casos extremos, no solo caminos felices, especialmente en blockchain, donde el código es más difícil de actualizar.

5/8 Nivel 4: Pruebas de fuzzing El santo grial: fuzzing basado en propiedades con invariantes para protocolos complejos, fuzzing guiado que apunta a rutas de código específicas y pruebas diferenciales contra implementaciones de referencia. El fuzzing es la mejor herramienta para encontrar casos límite complejos.

6/8 Por encima de la pirámide se encuentra la auditoría. Eso también se debe a que su efectividad depende completamente de la base. Los proyectos que omiten los niveles inferiores a menudo ven más de 20 problemas críticos en las auditorías. Aquellos que implementan los 4 niveles típicamente ven 1-2 problemas críticos como máximo.

7/8 equipos que siguen estas mejores prácticas detectan problemas críticos que de otro modo pasarían desapercibidos. Esto reduce los costos de auditoría y permite enviar protocolos más seguros en general. La seguridad es una forma de construir desde el principio, no solo un último chequeo para externalizar.