En el ecosistema de Soroban, la nueva frontera de smart contracts de la red Stellar, existe una verdad incómoda: los contratos son públicos e inmutables. Una vez desplegados, cualquier error vive para siempre en la blockchain.
Cuando protocolos DeFi como Soroswap, Blend o Hoops Finance manejan liquidez real, no podemos permitirnos el lujo de esperar a que un error ocurra; intentar detener un ataque una vez iniciada la transacción es llegar tarde a la escena del crimen.
Por eso nace Kuyfi.
El problema: El punto ciego de la seguridad actual
La mayoría de las herramientas de auditoría actuales tienen una limitación crítica: requieren acceso al código fuente original en Rust para funcionar.
Esto crea una brecha de seguridad peligrosa:
Interoperabilidad a ciegas: Los desarrolladores no siempre tienen el código de contratos de terceros con los que interactúan.
Investigación Independiente: Los analistas de seguridad no pueden auditar contratos cerrados.
Barreras de entrada: Las auditorías formales pueden costar decenas de miles de dólares, dejando fuera a proyectos emergentes.
El Pivote: De “Escudo” a “Espada”
Originalmente, Kuyfi se pensó como un monitor en tiempo real, pero la naturaleza atómica de la blockchain nos enseñó que la única solución inteligente es evitar que el contrato vulnerable llegue a producción. Pasamos de ser un monitor pasivo a una herramienta de seguridad ofensiva y preventiva.
¿Qué es Kuyfi?
El nombre Kuyfi proviene del Mapudungun y significa "antes" o "lo antiguo". Actuamos antes de que el daño ocurra, auditando contratos antes de que manejen valor real.
Kuyfi es el primer escáner de seguridad black-box nativo de Soroban. No necesitamos el código fuente Rust; nuestro motor extrae y decodifica el bytecode WASM directamente desde la blockchain para entender dónde podría romperse.
Explora el código y la arquitectura en nuestro repositorio:
Hito Alcanzado: Fase 1 - OSINT Scanner (Completa)
Hemos completado con éxito nuestra primera etapa. Actualmente, Kuyfi ya es capaz de realizar un análisis "Open Source Intelligence" sobre cualquier contrato en Stellar:
Identificación: Valida Contract IDs de 56 caracteres.
WASM Fetcher: Descarga el bytecode binario compilado directamente desde la Testnet.
Mapeo de Superficie: Implementamos un algoritmo custom de alineación de memoria para extraer endpoints, nombres de funciones y tipos de inputs/outputs sin ver una sola línea de código original.
Interfaz TUI: Una experiencia de terminal robusta con identidad visual propia (cyber cats y paleta magenta/cyan).
Lo que sigue: Soltando al “Chaos Monkey”
No nos detendremos en el análisis pasivo. La Fase 2, actualmente en progreso, convertirá a Kuyfi en un motor de ataque activo. Estamos construyendo el Chaos Monkey, que ejecutará:
Fuzzing Matemático: Ataques de valores extremos ($0$, valores máximos como $u64::MAX$, o negativos) para detectar desbordamientos o errores de lógica.
Fuzzing de Control de Acceso: Intentos de ejecución de funciones administrativas (como
initializeoset_admin) desde cuentas no autorizadas.
Únete al camino
Estamos construyendo Kuyfi bajo un modelo open-core porque creemos que la seguridad no debe ser un lujo, sino un estándar para todos en Stellar. Queremos proteger el ecosistema financiero emergente de Latinoamérica y el mundo con herramientas nacidas desde la misma comunidad.
El futuro de Stellar es brillante, pero solo si es seguro.
