Por qué las auditorías anuales son más importantes que los programas de recompensas por errores más grandes

La industria de las criptomonedas ha convergido en torno a tres pasos fundamentales para la seguridad de los protocolos: construir casos de prueba exhaustivos durante el desarrollo, realizar auditorías rigurosas antes del lanzamiento y establecer programas de recompensas por errores para incentivar la divulgación responsable de vulnerabilidades. Estas prácticas han demostrado ser efectivas para reducir los exploits en cadena, sin embargo, los protocolos establecidos con grandes bases de usuarios siguen siendo víctimas de ataques. Yearn, Balancer V2, Abracadabra y 1inch han experimentado incidentes de seguridad a pesar de haber pasado auditorías exhaustivas y ofrecer programas de recompensas sustanciales. Esto plantea una pregunta incómoda: ¿son estas precauciones suficientes o estamos omitiendo una pieza crítica del rompecabezas de la seguridad?

La respuesta instintiva de muchos observadores ha sido aumentar las recompensas por errores. Pero este enfoque confunde dos estrategias de seguridad fundamentalmente diferentes. Mientras que las auditorías representan una protección proactiva que los protocolos inician y controlan, los programas de recompensas por errores son inherentemente reactivos—ponen el destino de la seguridad del protocolo en manos de investigadores externos. Los protocolos no pueden simplemente aumentar indefinidamente las recompensas de estos programas como sustituto de medidas de seguridad activas.

Por qué las Finanzas Tradicionales Han Entendido Esto Correctamente

Para entender qué le falta a los protocolos cripto, consideremos cómo las industrias establecidas manejan la seguridad continua. Las instituciones financieras no dependen principalmente de cazadores de recompensas. En cambio, siguen un estándar probado: auditorías y certificaciones anuales.

Los bancos y procesadores de pagos deben mantener informes SOC 2 Tipo II, que demuestran controles de seguridad consistentes a lo largo del tiempo. Las redes de pago requieren certificación PCI DSS para demostrar que protegen datos sensibles de transacciones. Los contratistas gubernamentales deben mantener la certificación FedRAMP para manejar información federal. Ninguno de estos modelos depende de esperar que investigadores externos descubran vulnerabilidades antes que los atacantes. En su lugar, reevaluan sistemáticamente la seguridad en un calendario recurrente.

La idea clave: las auditorías son instantáneas de la seguridad en un momento específico. Los entornos operativos evolucionan constantemente—las dependencias se actualizan, las configuraciones cambian y patrones que antes eran seguros pueden volverse peligrosos. Un protocolo puede ser seguro en su lanzamiento, pero vulnerable un año después debido a cambios en el ecosistema más amplio. La única forma de mantener la confianza es mediante una reevaluación continua, no una evaluación única.

La Falta en el Modelo de Programas de Recompensas por Errores para Vulnerabilidades Críticas

Consideremos la economía: suponiendo que un gran protocolo opera con fondos sustanciales en su tesorería y un alto TVL, ¿por qué no ofrecer recompensas enormes en su programa de bugs, equivalentes a lo que los atacantes a veces negocian por devolver fondos robados?

La respuesta revela una restricción fundamental. Los protocolos tienen control legal legítimo solo sobre sus propios fondos en la tesorería. Los fondos depositados por los usuarios no pertenecen al protocolo—pertenecen a los depositantes. Los protocolos no pueden gastar éticamente los depósitos de los usuarios en medidas de seguridad, salvo en situaciones de crisis donde los usuarios deben decidir entre perder un 10% en negociaciones o perder un 100% por robo.

Esto crea un problema estructural: el riesgo de seguridad escala con el TVL, pero el presupuesto de seguridad no puede escalar proporcionalmente. Un protocolo con 10 mil millones de dólares en fondos de usuarios tiene el mismo presupuesto de seguridad que cuando tenía 1 mil millones. Este déficit presupuestario limita directamente lo que los recursos del programa de recompensas por errores pueden lograr.

Por qué Aumentar Dramáticamente las Recompensas de Bugs Es Contraproducente

Incluso si se resolvieran las limitaciones de financiamiento, aumentar drásticamente los pagos en los programas de recompensas introduce incentivos desalineados. Los investigadores de seguridad enfrentan una decisión racional: si sospechan que el TVL de un protocolo crecerá y creen que las vulnerabilidades repetidas son poco probables, se motivan a ocultar errores críticos en lugar de divulgarlos. Su razonamiento: es mejor explotar la vulnerabilidad más tarde, cuando el protocolo tenga más valor, o vender la vulnerabilidad a los atacantes.

Al mismo tiempo, los investigadores de élite—los que realmente pueden encontrar vulnerabilidades complejas—son actores económicos racionales. Buscan programas de recompensas con el mayor retorno esperado de inversión. Los protocolos grandes y probados en batalla enfrentan una desventaja competitiva: dado que están en constante escrutinio, los investigadores estiman que la probabilidad de encontrar vulnerabilidades es extremadamente baja. Ninguna cantidad de aumento en las recompensas puede superar esas probabilidades desfavorables.

Desde la perspectiva del protocolo, los fondos reservados para recompensas permanecen inactivos la mayor parte del tiempo. Normalmente, estos fondos se reservan para pagar una vulnerabilidad crítica. A menos que la gestión esté dispuesta a presupuestar pagos constantes (y a ocultar su TVL a los investigadores), ese capital no puede ser utilizado para otros fines de seguridad.

Comparado con dedicar ese mismo capital a múltiples auditorías profesionales a lo largo de los años: cada revisión atrae la atención especializada de las principales firmas de seguridad, elimina restricciones artificiales en la detección (los investigadores no buscan solo una vulnerabilidad), y alinea incentivos. Cuando un protocolo es comprometido, tanto los auditores como el propio protocolo sufren daños reputacionales.

La Cuarta Pata Faltante: Auditorías Anuales de Revisión

La industria cripto debería adoptar una cuarta pata de seguridad que ya practican las finanzas tradicionales: auditorías sistemáticas de los protocolos.

Los protocolos con un TVL significativo deberían realizar auditorías de revisión anuales de sus sistemas desplegados. Las firmas de auditoría deberían desarrollar servicios especializados de re-auditoría enfocados en evaluaciones integrales del despliegue. Todo el ecosistema debería replantearse qué representan los informes de auditoría—no sellos de aprobación permanentes, sino evaluaciones de seguridad con límite de tiempo que expiran y requieren renovación.

Este cambio reconoce una verdad esencial: el entorno de amenazas nunca se mantiene quieto. Las configuraciones se desvían, las dependencias quedan obsoletas y los patrones seguros de ayer pueden convertirse en vulnerabilidades hoy. La única defensa es una reevaluación constante y profesional—no confiar en que un programa de recompensas atraerá al investigador adecuado en el momento adecuado.

La industria cripto ha logrado mejoras de seguridad notables mediante auditorías y divulgación responsable. El siguiente paso lógico es reconocer que estas defensas requieren renovación regular. Las auditorías anuales transformarían la seguridad del protocolo de un logro puntual a un proceso sostenible y validado continuamente.