{"id":133536,"date":"2026-04-06T17:45:51","date_gmt":"2026-04-06T23:45:51","guid":{"rendered":"https:\/\/pongara.net\/news\/libscan-detecta-mal-uso-de-librerias-en-contratos-inteligentes-con-8515-de-precision\/"},"modified":"2026-04-06T17:45:51","modified_gmt":"2026-04-06T23:45:51","slug":"libscan-detecta-mal-uso-de-librerias-en-contratos-inteligentes-con-8515-de-precision","status":"publish","type":"post","link":"https:\/\/pongara.net\/news\/libscan-detecta-mal-uso-de-librerias-en-contratos-inteligentes-con-8515-de-precision\/","title":{"rendered":"LibScan detecta mal uso de librer\u00edas en contratos inteligentes con 85,15% de precisi\u00f3n"},"content":{"rendered":"<div>\n<div><img width=\"640\" height=\"384\" src=\"https:\/\/pongara.net\/news\/wp-content\/uploads\/2026\/04\/canuto-imagine-1775518072-840x504-1.jpg\" class=\"attachment-large size-large wp-post-image\" alt=\"\" style=\"margin-bottom: 15px;\" loading=\"lazy\" decoding=\"async\" srcset=\"https:\/\/pongara.net\/news\/wp-content\/uploads\/2026\/04\/canuto-imagine-1775518072-840x504-1.jpg 840w, https:\/\/diariobitcoin.b-cdn.net\/wp-content\/uploads\/2026\/04\/canuto-imagine-1775518072-608x365.jpg 608w, https:\/\/diariobitcoin.b-cdn.net\/wp-content\/uploads\/2026\/04\/canuto-imagine-1775518072-768x461.jpg 768w, https:\/\/diariobitcoin.b-cdn.net\/wp-content\/uploads\/2026\/04\/canuto-imagine-1775518072.jpg 1226w\" sizes=\"auto, (max-width: 640px) 100vw, 640px\"><\/div>\n<p><strong>Un equipo de investigadores present\u00f3 LibScan, una herramienta h\u00edbrida que combina modelos de lenguaje y an\u00e1lisis est\u00e1tico para detectar usos indebidos de librer\u00edas en contratos inteligentes. La propuesta apunta a una clase de fallas dif\u00edcil de identificar, pero capaz de provocar p\u00e9rdidas multimillonarias en ecosistemas como Ethereum y DeFi.<br \/>\n***<\/strong><\/p>\n<ul>\n<li><strong>LibScan detect\u00f3 ocho categor\u00edas de mal uso de librer\u00edas en contratos inteligentes con una precisi\u00f3n general de 85,15% sobre 662 contratos reales.<\/strong><\/li>\n<li><strong>El sistema combina razonamiento sem\u00e1ntico con modelos de lenguaje, reglas de Slither, coincidencia estructural con TF-IDF y un mecanismo iterativo de autocorrecci\u00f3n.<\/strong><\/li>\n<li><strong>En las pruebas reportadas, la herramienta super\u00f3 por m\u00e1s de 16 puntos porcentuales a alternativas existentes como Slither y GPTScan.<\/strong><\/li>\n<\/ul>\n<hr>\n<blockquote class=\"twitter-tweet\">\n<p lang=\"es\" dir=\"ltr\"><img decoding=\"async\" src=\"https:\/\/pongara.net\/news\/wp-content\/uploads\/2026\/04\/1f6a8-10.png\" alt=\"\ud83d\udea8\" class=\"wp-smiley\" style=\"height: 1em; max-height: 1em;\"> LibScan detecta uso indebido de librer\u00edas en contratos inteligentes con un 85,15% de precisi\u00f3n. <\/p>\n<p>Investigadores presentan una herramienta que combina modelos de lenguaje y an\u00e1lisis est\u00e1tico, superando opciones existentes. <\/p>\n<p>Los errores en la implementaci\u00f3n de librer\u00edas pueden\u2026 <a href=\"https:\/\/t.co\/7X9gHxkX2Y\">pic.twitter.com\/7X9gHxkX2Y<\/a><\/p>\n<p>\u2014 Diario\u0e3fitcoin\uea00 (@DiarioBitcoin) <a href=\"https:\/\/twitter.com\/DiarioBitcoin\/status\/2041435100852724010?ref_src=twsrc%5Etfw\">April 7, 2026<\/a><\/p>\n<\/blockquote>\n<p>\u00a0<\/p>\n<p>El uso de librer\u00edas de terceros en contratos inteligentes se ha convertido en una pr\u00e1ctica habitual dentro de Ethereum y del ecosistema Web3. La raz\u00f3n es simple: permiten acelerar el desarrollo, estandarizar funciones y, en teor\u00eda, elevar la seguridad de las aplicaciones descentralizadas. Sin embargo, cuando esas librer\u00edas se implementan de forma incorrecta, pueden abrir la puerta a fallas dif\u00edciles de detectar y con consecuencias financieras graves.<\/p>\n<p>Ese es el problema que busca atacar <a href=\"https:\/\/arxiv.org\/pdf\/2604.00657\">LibScan: Smart Contract Library Misuse Detection with Iterative Feedback and Static Verification<\/a>, trabajo firmado por Yishun Wang, Wenkai Li, Xiaoqi Li, Zongwei Li, Lei Xie y Yuqing Zhang. Los autores presentan un marco automatizado que combina modelos de lenguaje de gran tama\u00f1o con an\u00e1lisis est\u00e1tico basado en reglas, con el objetivo de identificar ocho categor\u00edas distintas de mal uso de librer\u00edas en contratos inteligentes.<\/p>\n<p>Seg\u00fan los resultados del estudio, LibScan alcanz\u00f3 una precisi\u00f3n general de 85,15% en pruebas realizadas sobre 662 contratos inteligentes del mundo real. De acuerdo con los autores, ese rendimiento supera a las herramientas comparables por m\u00e1s de 16 puntos porcentuales, una diferencia relevante en un campo donde los falsos positivos y los falsos negativos pueden traducirse en auditor\u00edas costosas o en vulnerabilidades que pasan inadvertidas.<\/p>\n<p>El trasfondo del problema no es menor. Los investigadores recuerdan que los contratos inteligentes administran cientos de miles de millones de d\u00f3lares en criptoactivos dentro de DeFi. En ese contexto, defectos m\u00ednimos en la l\u00f3gica del c\u00f3digo pueden derivar en p\u00e9rdidas irreversibles. Como ejemplo, citan la vulnerabilidad del monedero multifirma de Parity, asociada a una inicializaci\u00f3n incorrecta y a llamadas arbitrarias a un contrato de librer\u00eda subyacente, incidente que termin\u00f3 bloqueando m\u00e1s de USD $150.000.000 en ether.<\/p>\n<h3>Por qu\u00e9 el mal uso de librer\u00edas es un riesgo tan dif\u00edcil de detectar<\/h3>\n<p>El estudio parte de una idea central: no todos los errores de seguridad en contratos inteligentes se parecen a una vulnerabilidad cl\u00e1sica. En muchos casos, el problema no est\u00e1 en una l\u00ednea evidentemente insegura, sino en una suposici\u00f3n equivocada del desarrollador sobre lo que hace una librer\u00eda, en una sustituci\u00f3n incompleta de funciones antiguas o en una integraci\u00f3n sem\u00e1nticamente incorrecta.<\/p>\n<p>Eso complica el trabajo de las herramientas tradicionales. Soluciones de an\u00e1lisis est\u00e1tico como Slither o marcos como Smartbugs suelen apoyarse en reglas fijas, \u00e1rboles de sintaxis abstracta o grafos de flujo de control. Ese enfoque escala bien, pero puede quedarse corto cuando el hallazgo depende de inferir la intenci\u00f3n del desarrollador o de entender el contexto completo del contrato.<\/p>\n<p>Por otro lado, los modelos de lenguaje han mostrado avances importantes para razonar sobre c\u00f3digo. Aun as\u00ed, los autores advierten que un enfoque puramente impulsado por IA generativa puede sufrir alucinaciones y elevar mucho la tasa de falsos positivos, sobre todo cuando se analizan contratos extensos o complejos. Esa tensi\u00f3n entre comprensi\u00f3n sem\u00e1ntica y verificaci\u00f3n estricta es el vac\u00edo que LibScan intenta resolver.<\/p>\n<p>Para hacerlo, el sistema mezcla capacidades heterog\u00e9neas. Usa razonamiento sem\u00e1ntico apoyado en modelos de lenguaje, integra coincidencia estructural mediante matrices TF-IDF y a\u00f1ade conjuntos de reglas personalizadas con Slither. Adem\u00e1s, incorpora un mecanismo iterativo de retroalimentaci\u00f3n para refinar resultados y una base de conocimiento construida a partir de estudios emp\u00edricos sobre casos reales de mal uso.<\/p>\n<h3>Las ocho categor\u00edas de mal uso que analiza LibScan<\/h3>\n<p>La investigaci\u00f3n toma como base una taxonom\u00eda previa de ocho patrones de mal uso de librer\u00edas en contratos inteligentes. Entre ellos aparece la verificaci\u00f3n inv\u00e1lida en wrappers de librer\u00eda, cuando la l\u00f3gica de comprobaci\u00f3n implementada no cubre todos los escenarios esperados. Tambi\u00e9n figura el manejo inadecuado de excepciones dentro de la librer\u00eda, un problema que puede hacer que un contrato no detecte correctamente errores de ejecuci\u00f3n en interacciones externas.<\/p>\n<p>Otra categor\u00eda es la extensi\u00f3n inapropiada de librer\u00edas, donde distintas funcionalidades se mezclan dentro de una misma funci\u00f3n y elevan la complejidad o el riesgo de errores. A esto se suma el uso incorrecto de la instrucci\u00f3n <i>using for<\/i>, cuando las funciones de una librer\u00eda se asocian a tipos de datos incompatibles o innecesarios.<\/p>\n<p>El estudio tambi\u00e9n contempla el reemplazo incompleto de funciones, situaci\u00f3n en la que el desarrollador adopta una alternativa m\u00e1s segura, pero deja llamadas antiguas sin sustituir. Junto con ello aparecen dos errores de interpretaci\u00f3n opuestos: sobreestimar la capacidad de una librer\u00eda, creyendo que ofrece protecciones que en realidad no implementa, y subestimar su capacidad, duplicando l\u00f3gica que ya exist\u00eda en el paquete importado.<\/p>\n<p>La octava categor\u00eda es el uso innecesario de librer\u00edas. Un ejemplo citado por los autores es seguir utilizando SafeMath para protecci\u00f3n ante desbordamientos en Solidity 0.8, versi\u00f3n que ya incorpora esas comprobaciones de forma nativa. M\u00e1s all\u00e1 de ser redundante, ese h\u00e1bito puede a\u00f1adir sobrecostos y complejidad sin mejorar la seguridad.<\/p>\n<div class=\"diari-in-content-middle diari-entity-placement\" id=\"diari-885015892\">\n<div id=\"diari-4027973958\" data-diari-trackid=\"221185\" data-diari-trackbid=\"1\" class=\"diari-target diari-target\"><a data-no-instant=\"1\" href=\"https:\/\/youhodler.onelink.me\/IPBU\/lciii2ua\" rel=\"noopener\" class=\"a2t-link\" target=\"_blank\" aria-label=\"20stable - 1200x250_1\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/pongara.net\/news\/wp-content\/uploads\/2026\/04\/20stable-1200x250_1-12.gif\" alt=\"20stable - 1200x250_1\" width=\"1200\" height=\"250\" style=\" max-width: 100%; height: auto;\"><\/a><\/div>\n<\/div>\n<h3>C\u00f3mo funciona el sistema h\u00edbrido<\/h3>\n<p>En t\u00e9rminos metodol\u00f3gicos, LibScan primero integra descripciones de escenarios y propiedades de c\u00f3digo para las ocho categor\u00edas de mal uso. Esa informaci\u00f3n se transforma en una base estructurada que sirve como est\u00e1ndar de referencia para el m\u00f3dulo de IA. Luego, cuando el sistema recibe un archivo de c\u00f3digo Solidity, comienza un proceso de an\u00e1lisis orientado por patrones.<\/p>\n<p>El m\u00f3dulo de modelos de lenguaje usa prompts dise\u00f1ados para combinar coincidencia de rasgos de c\u00f3digo con inferencias l\u00f3gicas a partir de las descripciones de cada patr\u00f3n. Los investigadores aplicaron una estrategia llamada PTS, abreviatura de Pre-generated, Then Selected, inspirada en enfoques como Auto-CoT y en la l\u00f3gica de razonamiento paso a paso. La idea es inducir al modelo a exponer su razonamiento y luego reutilizar esa informaci\u00f3n para guiar respuestas posteriores.<\/p>\n<p>Para reducir la variabilidad natural de las salidas, el equipo fij\u00f3 la temperatura en cero y pidi\u00f3 a los modelos repetir el proceso cinco veces, reportando la respuesta m\u00e1s frecuente. El estudio evalu\u00f3 GPT-4o, GPT-4 Turbo, DeepSeek-V3 y DeepSeek-R1. En una primera ronda de detecci\u00f3n sobre 200 contratos elegidos de un total de 1.018 revisados manualmente, GPT-4o obtuvo 55% de precisi\u00f3n, GPT-4 Turbo 41%, DeepSeek V3 58% y DeepSeek R1 56%.<\/p>\n<p>Como esos resultados fueron considerados insuficientes, los autores a\u00f1adieron una capa de optimizaci\u00f3n iterativa. El sistema utiliza la salida de una ronda como insumo para la siguiente, generando un ciclo de retroalimentaci\u00f3n correctiva. En las pruebas, los indicadores mejoraron con cada iteraci\u00f3n, aunque en DeepSeek V3 y GPT-4 Turbo la mejora se estabiliz\u00f3 despu\u00e9s de la tercera vuelta y comenzaron a crecer las predicciones err\u00f3neas. Por eso, la tercera iteraci\u00f3n fue tomada como resultado final para todos los modelos.<\/p>\n<h3>El papel del an\u00e1lisis est\u00e1tico y la integraci\u00f3n final<\/h3>\n<p>LibScan no se apoya solo en IA. Su segundo pilar es un m\u00f3dulo de an\u00e1lisis est\u00e1tico con dos variantes. La primera, llamada BCSSM, usa TfidfVectorizer para transformar fragmentos de c\u00f3digo y contratos de entrada en matrices TF-IDF, y luego calcula similitud coseno para detectar coincidencias estructurales. La segunda, HCSA, combina an\u00e1lisis contextual con reglas personalizadas de Slither para examinar con mayor detalle algunos patrones.<\/p>\n<p>Seg\u00fan el estudio, BCSSM logr\u00f3 72,20% de precisi\u00f3n, 72,91% de recall, 75,66% de F1 y 79,38% de precisi\u00f3n promedio. HCSA registr\u00f3 70,66% de precisi\u00f3n, 76,00% de recall, 76,29% de F1 y 81,98% de precisi\u00f3n. Aunque los n\u00fameros son relativamente cercanos, los autores consideraron que HCSA ofrec\u00eda mejores prestaciones en \u00e1reas donde se requer\u00eda m\u00e1s contexto sem\u00e1ntico.<\/p>\n<p>La integraci\u00f3n final entre el m\u00f3dulo de IA y el m\u00f3dulo est\u00e1tico se realiz\u00f3 mediante un modelo Random Forest. El sistema toma como caracter\u00edsticas categ\u00f3ricas la salida del modelo de lenguaje y la salida del an\u00e1lisis est\u00e1tico, y combina ambas con un mecanismo de votaci\u00f3n entre m\u00faltiples \u00e1rboles de decisi\u00f3n. El objetivo es capturar relaciones no lineales entre los errores de ambos enfoques y aprovechar sus fortalezas complementarias.<\/p>\n<p>En la comparaci\u00f3n de configuraciones, la combinaci\u00f3n completa de GPT-4 Turbo m\u00e1s HCSA fue la m\u00e1s s\u00f3lida. Esa versi\u00f3n alcanz\u00f3 85,15% de precisi\u00f3n, 82,22% de recall, 83,75% de F1 y 86,19% de precisi\u00f3n. En contraste, HCSA por s\u00ed solo obtuvo 70,66% de precisi\u00f3n, mientras que el m\u00f3dulo LLM por s\u00ed solo se qued\u00f3 en 73,56%.<\/p>\n<h3>Resultados frente a otras herramientas y l\u00edmites del trabajo<\/h3>\n<p>El documento tambi\u00e9n compara LibScan con herramientas existentes. En el conjunto de 662 contratos evaluados, LibScan super\u00f3 a Slither, que registr\u00f3 62,39% de precisi\u00f3n, 67,85% de recall, 64,17% de F1 y 60,24% de precisi\u00f3n. Tambi\u00e9n se ubic\u00f3 por encima de GPTScan, que alcanz\u00f3 68,91% de precisi\u00f3n, 63,52% de recall, 71,68% de F1 y 66,73% de precisi\u00f3n.<\/p>\n<p>M\u00e1s all\u00e1 de la mejora cuantitativa, el aporte del trabajo est\u00e1 en el tipo de problema que aborda. La detecci\u00f3n de mal uso de librer\u00edas ha recibido menos atenci\u00f3n que fallas m\u00e1s conocidas como reentrancy, overflow o errores de control de acceso. Sin embargo, en la pr\u00e1ctica puede ser igual de peligrosa, porque combina supuestos err\u00f3neos, fragmentos heredados y dependencias externas dentro de contratos que luego quedan fijados en la cadena.<\/p>\n<p>Los autores sostienen que LibScan es la primera herramienta en operacionalizar una taxonom\u00eda emp\u00edrica de mal uso de librer\u00edas mediante un marco h\u00edbrido de modelos de lenguaje y an\u00e1lisis est\u00e1tico. Tambi\u00e9n publicaron el c\u00f3digo y los datos experimentales relacionados con el proyecto a trav\u00e9s de un repositorio enlazado en el estudio, con la intenci\u00f3n de facilitar investigaci\u00f3n posterior y aplicaciones pr\u00e1cticas en auditor\u00eda.<\/p>\n<p>Aun as\u00ed, el trabajo reconoce limitaciones. Entre ellas figura la dificultad para manejar sem\u00e1nticas de c\u00f3digo altamente complejas y la necesidad de ampliar la cobertura de patrones en el futuro. Para el ecosistema cripto, el mensaje es claro: en seguridad de contratos inteligentes, reutilizar c\u00f3digo auditado sigue siendo una buena pr\u00e1ctica, pero entender exactamente c\u00f3mo se usa esa librer\u00eda sigue siendo tan importante como elegirla.<\/p>\n<hr>\n<p><em>Imagen original de DiarioBitcoin, creada con inteligencia artificial, de uso libre, licenciada bajo Dominio P\u00fablico.<\/em><\/p>\n<p><em>Este art\u00edculo fue escrito por un redactor de contenido de IA y revisado por un editor humano para garantizar calidad y precisi\u00f3n.<\/em><\/p>\n<div class=\"footer-entry-meta\"><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"<p>Un equipo de investigadores present\u00f3 LibScan, una herramienta h\u00edbrida que combina modelos de lenguaje y an\u00e1lisis est\u00e1tico para detectar usos indebidos de librer\u00edas en contratos [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":133537,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,1],"tags":[31614,4305,285,3237,1468,28441,31613,1268,696],"class_list":["post-133536","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-crypto","category-noticias","tag-31614","tag-contratos","tag-crypto","tag-detecta","tag-inteligentes","tag-librerias","tag-libscan","tag-noticias","tag-precision"],"_links":{"self":[{"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/posts\/133536","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/comments?post=133536"}],"version-history":[{"count":0,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/posts\/133536\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/media\/133537"}],"wp:attachment":[{"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/media?parent=133536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/categories?post=133536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/pongara.net\/news\/wp-json\/wp\/v2\/tags?post=133536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}