MIESC - Evaluación Inteligente Multicapa para Smart Contracts¶
Framework de Seguridad Defense-in-Depth para Smart Contracts de Ethereum
Tesis de Maestría en Ciberdefensa | Universidad de la Defensa Nacional (UNDEF)
Video Demo • Tesis • Documentacion • GitHub
English | Español
Video Demostrativo¶
Mira MIESC en Acción
Ver en YouTube (~10 minutos)
Demuestra:
- Análisis Defense-in-Depth a través de 9 capas de seguridad
- 50 herramientas integradas (Slither, Mythril, Echidna, Certora, etc.)
- Integración del Model Context Protocol (MCP) con Claude Desktop
- 95.8% Recall, 22.2% Precisión, F1-Score 36.0% (SmartBugs-curated, 137/143 contratos)
- IA Soberana con Ollama (el código nunca sale de tu máquina)
Alcance y Limitaciones¶
Propósito:
- Orquestación automatizada de 50 herramientas de análisis de seguridad
- Correlación asistida por IA para reducir reportes duplicados
- Detección con redes neuronales de grafos DA-GNN (la técnica de origen reporta 95.7% de precisión; Computer Networks 2024)
- Mapeo de cumplimiento a estándares ISO/NIST/OWASP
- Formato de reportes estandarizado (JSON/HTML/PDF)
Limitaciones:
- No puede detectar todas las clases de vulnerabilidades (especialmente logica de negocio compleja)
- Metricas de efectividad pendientes de validacion empirica a gran escala
- Requiere revision manual de todos los hallazgos por profesionales calificados
- No adecuado como unica evaluacion de seguridad para contratos en produccion
Importante: Auditorias de seguridad profesionales obligatorias para contratos que manejen valor real.
Descripción General¶
MIESC es un framework de seguridad de smart contracts de grado de producción que implementa una arquitectura Defense-in-Depth de 9 capas, integrando 50 herramientas de seguridad especializadas con correlación potenciada por IA y detección basada en ML para ofrecer detección integral de vulnerabilidades con precisión líder en la industria.
Logros Principales (v5.4.3)¶
- 50 Herramientas Integradas en 9 capas de defensa
- 95.8% Recall, 22.2% Precisión, F1-Score 36.0% (SmartBugs-curated, 137/143 contratos)
- Mapeo de cumplimiento en 12 estándares internacionales (ISO 27001, NIST CSF, OWASP, …)
- IA Soberana con Ollama - el código nunca sale de tu máquina
- $0 Costo Operativo - ejecución completamente local
- Disponible en PyPI:
pip install miesc
Estado Actual en v5.4.3¶
Release Core Actual - CLI pública, API REST local, MCP stdio, OpenAPI y generación de reportes estáticos, manteniendo la UI de producto/plataforma fuera del paquete público.
Sobre las métricas de esta sección: las cifras por técnica que siguen (recall de PropertyGPT, precisión de DA-GNN, precisión del RAG, etc.) son los resultados reportados por los papers peer-reviewed en los que se basa cada adaptador (ver la línea "Basado en…" de cada uno). MIESC integra estas técnicas como adaptadores y no las re-benchmarkea de forma independiente, por lo que no forman parte de la matriz de afirmaciones reproducibles. Los resultados medidos por MIESC son los de SmartBugs-curated, EVMBench y exploits reales reportados en el resto de esta página y en el Paper 1.
1. PropertyGPT (Capa 4 - Verificación Formal)¶
- Generación automatizada de propiedades CVL para verificación formal
- 80% recall en propiedades Certora de ground-truth
- Aumenta la adopción de verificación formal del 5% al 40% (+700%)
- Basado en paper NDSS 2025 (arXiv:2405.02580)
2. DA-GNN (Capa 6 - Detección ML)¶
- Detección de vulnerabilidades basada en Redes Neuronales de Grafos
- 95.7% de precisión con 4.3% de tasa de falsos positivos
- Representa contratos como grafos de flujo de control + flujo de datos
- Basado en Computer Networks (ScienceDirect, Feb 2024)
3. SmartLLM RAG Mejorado (Capa 5 - Análisis IA)¶
- Generación Aumentada por Recuperación con base de conocimiento ERC-20/721/1155
- Rol de Verificador para comprobación de hechos (Generador → Verificador → Consenso)
- Precisión mejorada del 75% al 88% (+17%), tasa FP reducida en 52%
- Basado en arXiv:2502.13167 (Feb 2025)
4. DogeFuzz (Capa 2 - Testing Dinámico)¶
- Fuzzing guiado por cobertura estilo AFL con programación de potencia
- Fuzzing híbrido + ejecución simbólica
- 85% cobertura de código, 3x más rápido que Echidna
- Basado en arXiv:2409.01788 (Sep 2024)
Características¶
Arquitectura de Defensa de 9 Capas¶
| Capa | Categoría | Herramientas | Enfoque de Detección |
|---|---|---|---|
| 1 | Análisis Estático | Slither, Aderyn, Solhint | Detección de patrones (90+ detectores) |
| 2 | Testing Dinámico | Echidna, Medusa, Foundry, DogeFuzz | Fuzzing basado en propiedades |
| 3 | Ejecución Simbólica | Mythril, Manticore, Halmos | Exploración profunda de estados |
| 4 | Verificación Formal | Certora, SMTChecker | Pruebas matemáticas |
| 5 | Testing de Propiedades | PropertyGPT, Wake, Vertigo | Generación de invariantes |
| 6 | Análisis IA/LLM | SmartLLM, GPTScan, LLM-SmartAudit | Análisis semántico |
| 7 | Reconocimiento de Patrones | DA-GNN, SmartGuard, Clone Detector | Detección basada en ML |
| 8 | Seguridad DeFi | DeFi Analyzer, MEV Detector, Gas Analyzer | Específico de protocolos |
| 9 | Detección Avanzada | Advanced Detector, Threat Model | Correlación entre capas |
Inteligencia Potenciada por IA¶
- Correlación LLM Local: Reduce falsos positivos usando deepseek-coder vía Ollama
- Análisis de Causa Raíz: Explicaciones de vulnerabilidades amigables para desarrolladores
- Priorización de Riesgos: Puntuación multidimensional (CVSS + explotabilidad + impacto)
- Remediación Automatizada: Recomendaciones de corrección accionables con parches de código
Cumplimiento y Gobernanza¶
Mapeo incorporado a 12 frameworks de seguridad principales:
| Estándar | Cobertura | Dominio |
|---|---|---|
| ISO/IEC 27001:2022 | 5/5 controles | Seguridad de información |
| ISO/IEC 42001:2023 | 5/5 cláusulas | Gobernanza de IA |
| NIST SP 800-218 | 5/5 prácticas | Desarrollo seguro |
| OWASP SC Top 10 | 10/10 | Vulnerabilidades de smart contracts |
| OWASP SCSVS | Nivel 3 | Verificación de seguridad |
| Registro SWC | 33/37 tipos | Clasificación de debilidades |
| DASP Top 10 | 10/10 | Patrones DeFi |
| EU MiCA/DORA | Parcial | Cumplimiento regulatorio |
Integración de Protocolo MCP¶
Soporte nativo de Model Context Protocol para integración con asistentes de IA:
- run_audit - Ejecutar análisis multi-herramienta
- correlate_findings - Aplicar filtrado IA
- map_compliance - Generar mapeos de cumplimiento
- generate_report - Producir reportes formateados
Inicio Rápido¶
Instalación¶
# Desde PyPI (recomendado)
pip install miesc
# Con todas las funciones
pip install miesc[full]
# Desde código fuente (desarrollo)
git clone https://github.com/fboiero/MIESC.git
cd MIESC && pip install -e .[dev]
Uso Básico¶
# Escaneo rápido de vulnerabilidades
miesc scan contract.sol
# Modo CI/CD (exit 1 si hay issues críticos/altos)
miesc scan contract.sol --ci
# Auditoría completa de 9 capas
miesc audit full contract.sol
# Verificar disponibilidad de herramientas
miesc doctor
APIs Locales Y Reportes¶
# Iniciar API REST local
pip install "miesc[django]"
python -m miesc.api.rest --host 127.0.0.1 --port 8000
# Generar un dashboard HTML estatico desde resultados locales
python -m src.utils.web_dashboard --results analysis/results --output analysis/dashboard
Guía de Instalación Completa | Guía de Inicio Rápido¶
Arquitectura¶
Smart Contract
│
CoordinatorAgent (MCP)
│
┌──┴──┬──────┬─────────┐
│ │ │ │
Capa1 Capa2 Capa3 Capa4 → Herramientas ejecutan en paralelo
Static Dynamic Symbolic Formal
│ │ │ │
└──┬──┴──────┴─────────┘
│
Capa5 (Testing de Propiedades)
│
Capa6 (Análisis IA/LLM)
│
Capa7 (Reconocimiento de Patrones ML)
│
Capa8 (Seguridad DeFi)
│
Capa9 (Detección Avanzada + Correlación)
│
Reporte (JSON/HTML/PDF/SARIF)
Descripción de Componentes¶
| Capa | Agente | Propósito | Salida |
|---|---|---|---|
| L1-4 | Agentes de Análisis | Escaneo multi-herramienta | Hallazgos de vulnerabilidades crudos |
| L5 | Agente de Propiedades | Generación de invariantes | Propiedades CVL/tests de propiedad |
| L6 | Agente IA | Análisis semántico | Hallazgos correlacionados + causa raíz |
| L7 | Agente ML | Detección basada en grafos | Patrones de vulnerabilidad |
| L8 | Agente DeFi | Análisis específico de protocolos | Riesgos DeFi/MEV |
| L9 | Agente Avanzado | Correlación entre capas | Reporte final de auditoría |
Detalles de Arquitectura¶
Métricas de Rendimiento¶
Resultados v5.4.3 (Benchmark SmartBugs-curated)¶
SmartBugs-curated (143 contratos, 207 vulnerabilidades ground-truth):
| Métrica | Valor | Notas |
|---|---|---|
| Recall | 95.8% | 137/143 contratos, corpus completo SmartBugs-curated |
| Precisión | 22.2% | Corpus completo SmartBugs-curated |
| F1-Score | 36.0% | Corpus completo SmartBugs-curated |
| Baseline Slither (recall) | 43.2% | Comparación solo estático |
| Herramientas por capa | 50 | Herramientas core agrupadas en 9 capas de defensa |
Seguimiento secundario: una corrida local con Ollama sobre los casos restantes eleva el recall a 97.9% (140/143) con costo de API cero.
EVMBench: el ensemble de cuatro proveedores alcanza 92.5% de recall (111/120) en extracción local de alta severidad (no es un resultado oficial de leaderboard).
Exploits del mundo real: 81.8% de recall (9 de 11), Cohen's Kappa = 0.77, sobre $1.59B en pérdidas evaluadas.
Suite de Tests¶
- 5967 tests pasando, 8 omitidos en la última regresión local completa
- 70 tests de superficie pública pasando sobre REST, MCP, OpenAPI y distribución
- 0 vulnerabilidades críticas
- Stack de adapters configurado y alineado con el core de 9 capas
Fundamento Académico¶
Tesis de Maestría¶
Título: Framework Integrado de Evaluación de Seguridad para Smart Contracts: Un Enfoque Defense-in-Depth para Ciberdefensa
Institución: Universidad de la Defensa Nacional (UNDEF) - IUA Córdoba
Autor: Fernando Boiero
Director: M.Sc. Eduardo Casanovas
Defensa Esperada: Q4 2025
Contribuciones de Investigación¶
- Arquitectura Defense-in-Depth de 9 Capas para seguridad de smart contracts
- Integración de 50 Herramientas bajo protocolo unificado ToolAdapter
- Sistema de Normalización Triple (SWC/CWE/OWASP)
- Backend de IA Soberano con Ollama para soberanía de datos
- Servidor MCP para integración con asistentes de IA
- Rescate de Herramientas Legacy (Manticore Python 3.11, Oyente Docker)
Citación¶
@software{boiero2025miesc,
author = {Boiero, Fernando},
title = {MIESC: Evaluación Inteligente Multicapa para Smart Contracts},
year = {2025},
url = {https://github.com/fboiero/MIESC},
version = {5.4.3},
note = {Implementación para Tesis de Maestría en Ciberdefensa}
}
Documentación de Tesis¶
Documentación¶
Comenzar¶
Conceptos Principales¶
Recursos para Desarrolladores¶
Políticas y Gobernanza¶
Temas Avanzados¶
Índice Completo de Documentación¶
Contribuir¶
Damos la bienvenida a contribuciones de las comunidades de investigación en seguridad y blockchain.
Cómo Contribuir¶
- Hacer fork del repositorio
- Crear una rama de feature:
git checkout -b feature/nuevo-detector - Realizar cambios siguiendo nuestra guía de estilo
- Ejecutar verificaciones de calidad:
make all-checks - Enviar pull request
Áreas Prioritarias¶
- Specs CVL Certora para patrones comunes (ERC-20/721)
- Templates de propiedades Echidna para DeFi
- Tests de integración para las 50 herramientas
- Análisis de vulnerabilidades cross-chain
- Traducciones de documentación
Guía de Contribución¶
Soporte y Comunidad¶
Obtener Ayuda¶
- Documentación: https://fboiero.github.io/MIESC
- Issues de GitHub: Reportes de bugs y solicitudes de features
- Email: fboiero@frvm.utn.edu.ar
Ejemplos de Uso¶
Escaneo Rápido (Integración CI/CD):
miesc scan contracts/MyToken.sol --ci
# Código de salida 0 si no hay issues críticos, 1 de lo contrario
Auditoría Completa de 9 Capas:
Auditoría Batch (Múltiples Contratos):
Ejecución Selectiva de Capas:
miesc audit full contracts/Treasury.sol --layers 1,3,6
# Ejecuta solo Capa 1 (Estático), Capa 3 (Simbólico), Capa 6 (IA)
Exportar a Diferentes Formatos:
miesc audit quick contract.sol -f sarif -o report.sarif
miesc audit quick contract.sol -f markdown -o report.md
Modo Servidor MCP:
Licencia¶
Licencia AGPL-3.0 - Ver LICENSE para detalles.
Asegura que el framework permanezca open-source. Permite uso comercial con atribución. Trabajos derivados deben ser open-source.
Descargo de responsabilidad: Herramienta de investigación proporcionada "tal cual" sin garantías. Revisión manual por profesionales de seguridad calificados requerida. No es un reemplazo para auditorías profesionales.
Agradecimientos¶
Herramientas de Seguridad¶
- Trail of Bits (Slither, Manticore, Echidna)
- Crytic (Medusa)
- ConsenSys (Mythril)
- Ackee Blockchain (Wake)
- Certora
- a16z (Halmos)
- Cyfrin (Aderyn)
- Ethereum Foundation (SMTChecker)
- Paradigm (Foundry)
- Anthropic (MCP)
Datasets¶
- SmartBugs (INESC-ID)
- SolidiFI (TU Delft)
- Etherscan
Construido para la Comunidad de Seguridad de Smart Contracts
MIESC v5.4.3 | Tesis de Maestría en Ciberdefensa | Licencia AGPL-3.0
2025 Fernando Boiero - Universidad de la Defensa Nacional (UNDEF)