Ya ha llovido mucho desde aquel verano del 2016 donde deambulaba curioseando en 4 plataformas para obtener un poco de información y construir un criterio para abordar, con alguna garantía, este nuevo sector. Tiempos donde había muy poca información en habla hispana, donde las dudas las contaba por centenas en cada paso que daba, tiempos donde nada pero nada me daba algún tipo de confianza previa, pero mi instinto (al igual que el de un Ñu en su migración por el Serengueti le obliga a beber agua en el río Mara, sabiendo que puede morir tanto si lo hace como si no lo hace) me empujaba a pulsar el botón derecho de mi ratón sabiendo que podía estar regalando el poco dinero que empezaba a invertir.
Hoy es sencillamente espectacular la madurez y fortaleza que tiene este joven y poco nutrido de dinero, mercado de las criptomonedas. En esta ocasión al hablar de madurez no quiero enfocarlo en este artículo a los precios de cotización, ni a la amplia gama de estrategias que se pueden aplicar, ni voy a sacar la bola de cristal, eso lo dejo para temas más internos que trato directamente en nuestro fondo de inversión (@Belobaba) cuando me junto con mi equipo de trabajo, dónde intentamos dar con esa cuerda que tenemos que tensar para afinar muy bien nuestra guitarra, ya que cada vez tiene que sonar mejor. Quiero hablar en este breve artículo (y dejar reflejado en cuanto a madurez) de las diferentes áreas y herramientas que tienen tanto los proyectos que quieren salir a la luz, como un gestor o inversor profesional del sector, dotándolos de un 90% de seguridad en lo que se hace.
Vamos a trabajar un poco la parte más estructural y filosófica en la que baso mi tesis de inversión e intento transmitir a mi equipo. Esta parte contiene 7 puntos vitales que se deben analizar, investigar y garantizar antes de lanzar nada al mercado y sobre todo antes compararlo y catalogarlo como activo de inversión para una cartera, me refiero a la seguridad de token, la auditoría, el programa de recompensas para la detección de errores en el código, monitoreo, seguros, cobertura y las RRSS.
1) Seguridad del Token:
Gracias a @LossLees por ejemplo (https://lossless.cash/) hoy cualquier proyecto antes de ser lanzado, puede comunicarse con ellos y proponerles su colaboración en este aspecto, su servicio es gratuito hasta que se necesite, momento donde te cobrarán un 7% de los fondos recuperados. Esto para las tan emergentes y proliferas Launchpad (plataformas de lanzamiento) es un servicio impagable al igual que para cualquier inversor con un perfil de riesgo alto que participa de ellas. Un requerimiento indispensable antes de poner un solo euro (y no se trata de asegurar que tú inversión salga bien) es verificar o saber que un proyecto para su token tiene este tipo de servicio contratado, de esta manera no te podrán poner la cara roja ante un problema de robo masivo en la plataforma y donde no tengamos una respuesta.
2) Auditoría:
Antes toca entender por nuestra parte (y esta es una parte importante de las reglas de juego de este mercado) que una vulnerabilidad en el código de cualquier plataforma/ protocolo/red es sólo una característica del propio código, por lo tanto, siempre tendrá consecuencias no deseadas, tanto para nosotros como para ellos. Una auditoría es como un mantenimiento preventivo, es ese paso que te puede ahorrar muchos problemas a futuro y con peores resultados. Por lo tanto un proyecto/token no auditado no pinta nada en tu cartera o tesis de inversión, si lo tienes déjame decirte que estás dejando a la suerte lo que debes asumir y afrontar como gestor/inversor, por lo tanto no pidas a tus resultados milagros ni que hablen bien de ti.
Qué auditores nos encontramos en la industria y que goza de reputación en cuanto a excelencia en su trabajo?
CERTIK, PECK SHIELD, COIN, FABRIK o DEDAUB, pero ojo estos certificados aunque son motivo de garantía debemos tratarlos como los letreros de Securitas o Prosegur que ponemos en nuestras casas una vez instalada la alarma, hay seguridad, sí ,pero si nos dejamos la puerta de casa abierta poco pueden hacer.
3) Bounties a la comunidad:
Hay proyectos que directamente contratan los servicios de plataformas como Inmudefi (plataforma líder de recompensas por errores para blockchain, una de la más grande del mundo), dónde los equipos pagan por montar un programa de búsqueda de vulnerabilidades un 10% por cada vulnerabilidad encontrada en su propio token o también puede darse el caso de que ellos directamente (como es el caso e Harmony) tiene un programa de recompensa montado en Gitcoin (https://gitcoin.co/harmony-one/bounties), el cual ya ha repartido en recompensas 1.782 ETH, esto habla muy bien de este proyecto y de la gran interacción en el código por parte de la comunidad.
4) Monitoreo:
Esta actividad consiste en vigilar el contrato, los tokens y a la comunidad para detectar si hay actividades inusuales en estos entornos, ya que como muestra la imagen, el fraude en blockchain supera con creces a los hackeos y a los robos en el 2020. En los primeros cinco meses de 2020, los robos, hacks y fraudes de criptomonedas totalizaron 1,36 Billones de dólares, sin embargo, la implementación de sofisticadas soluciones de análisis de blockchain y las regulaciones KYC / AML han mejorado estos resultados, haciendo que los delincuentes sean más vulnerables. El promedio global de fondos delictivos directos recibidos por los intercambios de criptomonedas cayó un 47% en 2019.
Por ello existen diversas herramientas y softwares de análisis de blockchain, pero si nos queremos poner más exquisitos y meticulosos, empresas como TMR (https://www.trmlabs.com/) ayudan a las instituciones financieras a combatir las actividades de lavado de dinero criptográfico, prevenir el fraude y cumplir con las normas. También Elliptic (https://www.elliptic.co/) son utilizadas por las principales instituciones financieras y de intercambio de cifrado de todo el mundo, ya que proporcionan múltiples soluciones para el cumplimiento en la investigación de tecnologías blockchain. Entre sus clientes están nada menos que Coinbase, Zilliqa, Bitgo, Revolut o Bitcoin Suisse o Wirex.
5) Seguros:
De locos es pensar que sólo un 35% del capital invertido en DeFi está asegurado, las cifras son duras pero muy esclarecedoras y motivó total de los continuos ataques que vemos, por lo tanto somos los creadores directos de todos los problemas que se están sucediendo, ya que actuamos con mucha deliberación a la hora de poner tan solo 100 dólares en una plataforma/protocolo/wallet sin pedir explicaciones ni responsabilidades, cosa que nunca hemos hecho en el sistema tradicional. Queremos ser y actuar como bancos, ya que DeFi nos abrió esa caja de Pandora, pero no somos capaces de poner las mismas medidas de seguridad. Otro factor clave que me apuntala más esta teoría, es que es un sector (en cuanto a precio del token y capitalización se refiere) del seguro está muy castigado, donde tenemos a la primera aseguradora del sector DeFi (Nexus Mutual) en el puesto 117 y capitalizando por debajo del billón de dólares, esto sin duda, es de locos y una divergencia de pensamientos en toda regla. Por lo tanto, nos toca entender, leer su documentación y aplicar los servicios de aseguradoras como INSURANCE, BRIDGE MUTUAL, ARMOR o COVER PROTOCOL, entre otras.
6) Redes sociales:
Tanto Discord como Telegram son muy permisivos y lo peor nosotros muy confiados, ya que estas 2 plataformas sociales son 2 vectores de ataque en toda regla. El temido FUD y otras nefastas actividades son muy populares en estos canales, gracias a ello el robo temporal de canales de Telegram se ha convertido en una amenaza frecuente y completamente real. Los proyectos y por la tanto nosotros debemos estar preparados contra estos ataques, ya que estas son las condiciones que conducen a escenarios reales de riesgo. Es un tema de verdad muy sensible y al vez muy poderoso, por ello me gustaría que leyeras este artículo, donde en tan solo en 4 pasos te puedes hacer con un canal, un caso real que pasó el 20 de octubre del 2021, dónde 4 proyectos NFT fueron explotados a través de una vulnerabilidad de webhook en Discord.
Para tomar nuestra propias medidas de seguridad les aconsejó a los proyectos y a sus embajadores que independientemente de la capitalización que tenga, de la comunidad que tengan y del servicio que tengan, sencillamente deshabiliten o eliminen la opción webhooks.
7) Sentido común:
El menos común de los sentidos. Tanto los equipos de desarrollo como los gestores/inversores debemos estar siempre alertas, no sólo para prever si no para anticiparnos a nuevos vectores de ataque. Creo que los proyectos tokenizados deben (y nosotros como contraparte del negocio) exigir, verificar el código implementado las veces que sean necesarias. Por si este detalle se te había pasado por alto, recordarte que Aquiles murió por culpa de no saber cuál era su punto más débil, no repitamos una historia que ya conocemos, y sobre todo seamos ejecutivos y profesionales, exijamos más de lo que lo hacemos, ya que otra vez desde hace mucho tiempo, nos toca asumir toda la responsabilidad de lo que nos pase”.