Question 1

¿Qué vulnerabilidades detecta esta herramienta?

Accepted Answer

Esta herramienta escanea en busca de vulnerabilidades del OWASP Smart Contract Top 10 (2025), incluidas: problemas de control de acceso (SC01), ataques de reentrada (SC05), desbordamientos o subdesbordamientos de enteros (SC03), llamadas externas sin comprobación, patrones de denegación de servicio, errores lógicos, ataques de insuficiencia de gas y otros anti-patrones de seguridad habituales en código Solidity.

Question 2

¿Es esta herramienta un sustituto de una auditoría profesional de seguridad?

Accepted Answer

No. Esta herramienta proporciona una detección básica automatizada de vulnerabilidades, pero NO sustituye una auditoría profesional de contratos inteligentes. No puede identificar errores complejos de lógica, fallos en la lógica de negocio ni vectores de ataque sofisticados. Antes de desplegar contratos de alto valor, recurra siempre a una auditoría profesional con firmas como OpenZeppelin, ConsenSys Diligence o Trail of Bits.

Question 3

¿Qué es el OWASP Smart Contract Top 10?

Accepted Answer

El OWASP Smart Contract Top 10 es una lista de los riesgos de seguridad más críticos para los contratos inteligentes en blockchain, actualizada en 2025. Las vulnerabilidades de control de acceso (SC01) ocupan el puesto n.º 1, mientras que la reentrada (SC05) pasó al n.º 5 gracias a mejores herramientas y una mayor conciencia entre los desarrolladores. La lista ayuda a los desarrolladores a priorizar los problemas de seguridad.

Question 4

¿Qué es un ataque de reentrancia?

Accepted Answer

Un ataque de reentrancia ocurre cuando un contrato malicioso vuelve a invocar un contrato vulnerable antes de que concluya la primera ejecución de la función. El conocido hackeo de The DAO en 2016 sustrajo más de 60 millones de dólares mediante esta técnica. Prevención: seguir el patrón Checks-Effects-Interactions (actualizar el estado antes de realizar llamadas externas) o emplear el modificador ReentrancyGuard de OpenZeppelin.

Question 5

¿Todavía necesito SafeMath en Solidity 0.8+?

Accepted Answer

No. Solidity 0.8.0 y posteriores incluyen protección contra desbordamientos y subdesbordamientos de forma predeterminada. Las operaciones aritméticas revierten automáticamente al producirse un desbordamiento. SafeMath solo es necesario para Solidity 0.7.x y anteriores. Sin embargo, puedes usar bloques "unchecked" en 0.8+ si deseas permitir el wrapping explícitamente para optimizar el gas.

Question 6

¿Por qué tx.origin es peligroso para la autenticación?

Accepted Answer

Usar tx.origin para autenticación es vulnerable a ataques de phishing. Si un usuario invoca un contrato malicioso, ese contrato puede llamar al tuyo y tx.origin seguirá siendo la dirección del usuario (no la del contrato malicioso). El atacante puede eludir la autenticación. Utiliza siempre msg.sender para el control de acceso.

Question 7

¿Qué es el patrón Checks-Effects-Interactions?

Accepted Answer

El patrón Checks-Effects-Interactions es una práctica recomendada para prevenir la reentrancia: (1) Checks: valida las condiciones con require(), (2) Effects: actualiza las variables de estado del contrato, (3) Interactions: realiza llamadas externas a otros contratos. Actualiza siempre el estado ANTES de llamar a contratos externos para evitar ataques de reentrancia.

Question 8

¿Qué tan precisa es la calificación de seguridad?

Accepted Answer

La calificación de seguridad es una estimación aproximada basada en los problemas detectados: los incidentes críticos restan 30 puntos cada uno, los altos restan 15, los medios restan 8 y los bajos restan 3. Una calificación de 90 o más sugiere pocos problemas, pero se trata únicamente de un análisis automatizado. Los errores lógicos complejos, los ataques económicos y las fallas de lógica empresarial requieren una auditoría manual y no pueden calificarse automáticamente.

Analizador de Seguridad de Contratos Inteligentes

Preguntas Frecuentes

Explore Number Convert

KM to Miles

Pounds to Kilograms

Fahrenheit to Celsius

Gallons to Liters