A maioria dos projetos de criptomoeda aborda a segurança de forma inversa: constroem primeiro, asseguram depois. Vamos explorar o que e por que cada projeto deve implementar ANTES de realizar uma auditoria, usando uma analogia da pirâmide de segurança.

2/8 Nível 1 (Fundação): Revisão de código Este nível proporciona o maior impacto pelo menor custo. As equipas precisam de implementar revisões entre pares através de fluxos de trabalho git adequados e evitar a síndrome do "herói full-stack", onde uma pessoa lida com tudo. Múltiplos pares de olhos no código previnem mais vulnerabilidades do que auditorias sozinhas.

3/8 Nível 2: Testes unitários Tenha 90-100% de cobertura de testes antes de qualquer auditoria. Escreva testes em uma linguagem diferente da sua implementação para evitar replicar erros lógicos. Teste casos extremos, não apenas os caminhos felizes – especialmente em blockchain, onde o código é mais difícil de atualizar.

5/8 Nível 4: Teste de Fuzz O santo graal: fuzzing baseado em propriedades com invariantes para protocolos complexos, fuzzing guiado visando caminhos de código específicos e testes diferenciais contra implementações de referência. Fuzzing é a única melhor ferramenta para encontrar casos extremos complexos.

6/8 Acima da pirâmide está a auditoria. Isso também se deve ao fato de que a sua eficácia depende inteiramente da fundação. Projetos que pulam os níveis inferiores frequentemente veem mais de 20 problemas críticos nas auditorias. Aqueles que implementam todos os 4 níveis tipicamente veem 1-2 problemas críticos no máximo.

7/8 Equipas que seguem estas melhores práticas detetam problemas críticos que, de outra forma, passariam despercebidos. Isto reduz os custos de auditoria e permite o envio de protocolos mais seguros no geral. A segurança é uma forma de construir desde o início, não apenas uma última verificação a ser subcontratada.