La firma de auditoría de seguridad cripto CertiK ha estado ocupada recientemente. Sin embargo, las fallas en proyectos previamente auditados han llamado la atención.
El 26 de abril, el fundador de CertiK y profesor de la Universidad de Columbia, Gu Ronghui, habló con los medios de comunicación chinos.
Le dijo al medio (traducción) que “Nosotros [CertiK] hemos convertido la seguridad de blockchain en una pista casi por nosotros mismos, lo que ha atraído mucha atención”.
Luego se jactó de que CertiK logró una participación del 70% en el mercado de seguridad cripto.
Además, la firma ha reducido el costo de las auditorías de seguridad Web 3.0 en más del 90%, agregó Ronghui .
El 24 de abril, la empresa publicó una actualización sobre las auditorías de seguridad cripto recientemente completadas.
La empresa de auditoría de criptoseguridad CertiK investiga a Merlín
Sin embargo, no todo es tan color de rosa como parece en la firma de auditoría de seguridad cripto.
“El mismo día en que se publicó esta entrevista, el proyecto Merlin, que Certik acababa de auditar, fue robado”, informó el analista de la industria Colin Wu.
El 26 de abril, CertiK informó que estaba investigando un incidente en el exchange descentralizado Merlin.
Dijo que los hallazgos iniciales apuntan a un posible problema de gestión de claves privadas en lugar de un exploit como la causa raíz. Sin embargo, en defensa propia, la firma agregó:
“Si bien las auditorías no pueden evitar problemas de claves privadas, siempre destacamos las mejores prácticas para los proyectos”.
Según lo informado por BeInCrypto, el Merlin DEX sufrió un hack del fondo de liquidez de 1,82 millones de dólares el 26 de abril.
El DEX basado en zkSync fue explotado luego de un hack a su fondo de liquidez, agotando los fondos en USDC que luego se conectaron a Ethereum (ETH).
La auditoría de Certik ha sido cuestionada, pero la firma afirmó que destacó los riesgos de centralización.
“En el informe de auditoría ‘Merlin DEX’, el riesgo de centralización se destaca en la sección ‘Esfuerzos de descentralización’”.
Sin embargo, esos detalles eran vagos, según los investigadores de DeFi. “@DefiIgnas” señaló que se omitió información vital del resumen de auditoría.
“Al leer su auditoría, mencionó que la ‘cuenta de propietario puede permitir que el hacker se aproveche de esta autoridad’. Pero el resumen de la auditoría no tenía esta información”.
Las auditorías no son una garantía
Sin embargo, estas auditorías no evitan los exploits ni detectan todas las vulnerabilidades.
Según la base de datos Rekt, que monitorea los exploits, robos y robos de DeFi, ha habido un total de 31 exploits en los protocolos auditados de Certik.
Cuatro de ellos han sido en 2023, con los dos más grandes, Orion Protocol y dForce, ambos perdiendo más de 3 millones de dólares.
Sin embargo, también debe tenerse en cuenta que muchos de estos protocolos explotados también han sido auditados por otras firmas de seguridad líderes.
Certik también advirtió previamente sobre problemas de centralización en muchos protocolos DeFi explotados.
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
