Cetus Protocol a récemment publié un rapport de révision de la sécurité de l'attaque des hackers, suscitant un large intérêt dans l'industrie. Le rapport dévoile en détail les éléments techniques et les mesures de réponse d'urgence, ce qui en fait un modèle à suivre. Cependant, en expliquant les raisons de l'attaque, le rapport semble minimiser les enjeux, en se concentrant sur la responsabilité externe.
Le rapport explique en détail que la fonction checked_shlw de la bibliothèque integer-mate vérifie les erreurs, la qualifiant de "malentendu sémantique". Bien que cette description soit techniquement valide, elle évite habilement la responsabilité de Cetus.
Une analyse approfondie révèle que le succès d'une attaque de Hacker nécessite de remplir simultanément quatre conditions : un contrôle de dépassement d'erreur défaillant, des opérations de décalage importantes, des règles d'arrondi et un manque de vérification de la rationalité économique. Cetus présente des négligences évidentes sur chaque condition déclencheuse, comme l'acceptation d'entrées astronomiques, l'utilisation d'opérations de décalage dangereuses, la confiance totale dans les vérifications des bibliothèques externes, et le plus mortel est qu'aucune vérification de bon sens économique n'est effectuée avant d'exécuter directement lorsque le système calcule un résultat irrationnel.
Cela révèle de sérieux problèmes au sein de l'équipe Cetus dans les domaines suivants :
Manque de sensibilisation à la sécurité de la chaîne d'approvisionnement. Bien que des bibliothèques open source populaires soient utilisées, il n'y a pas une compréhension suffisante de leurs limites de sécurité et des risques potentiels.
Manque de talents en gestion des risques ayant une intuition financière. Permettre l'entrée de chiffres astronomiques déraisonnables montre que l'équipe a une compréhension insuffisante des limites du système financier.
Une dépendance excessive à l'audit de sécurité, négligeant l'importance de la validation interdisciplinaire. La sécurité moderne de la DeFi implique plusieurs domaines tels que les mathématiques, la cryptographie et l'économie, se fier uniquement à l'audit de code est loin d'être suffisant.
Cela reflète une lacune systémique de sécurité courante dans l'industrie DeFi : les équipes techniques manquent généralement d'une conscience de base des risques financiers.
À l'avenir, les projets DeFi doivent surmonter les limitations de la pensée purement technique et cultiver une véritable conscience de la sécurité des "ingénieurs financiers". Les mesures spécifiques peuvent inclure : l'introduction d'experts en gestion des risques financiers pour combler les lacunes de connaissances de l'équipe technique ; l'établissement d'un mécanisme d'audit et de révision multipartite, couvrant les audits de code et de modèles économiques ; le développement d'un "odorat financier", en simulant divers scénarios d'attaque et en élaborant des mesures de réponse.
Avec la maturité croissante de l'industrie, les vulnérabilités techniques au niveau du code vont progressivement diminuer, tandis que les "vulnérabilités de logique" liées à une frontière floue et à des responsabilités ambiguës deviendront le plus grand défi. Les sociétés d'audit ne peuvent garantir l'absence de vulnérabilités dans le code, mais la façon d'assurer que la "logique a des frontières" nécessite que l'équipe projet ait une compréhension et une maîtrise plus approfondies de l'essence des affaires.
L'avenir de la DeFi appartient à ceux qui non seulement maîtrisent les technologies de codage, mais aussi comprennent profondément la logique commerciale. Seule une véritable maîtrise des connaissances inter-domaines peut garantir une position gagnante dans cette industrie en rapide évolution.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
9 J'aime
Récompense
9
5
Partager
Commentaire
0/400
GateUser-beba108d
· 07-21 09:39
C'est encore un audit.
Voir l'originalRépondre0
GasWrangler
· 07-21 09:33
Techniquement parlant, les audits de sécurité amateurs sont sous-optimaux.
Voir l'originalRépondre0
MidnightSeller
· 07-21 09:19
Si vous n'avez pas de compétences fondamentales, ne jouez pas à DeFi.
Voir l'originalRépondre0
GateUser-75ee51e7
· 07-21 09:18
Avec cette conscience de la sécurité, ils osent faire de la finance ?
Voir l'originalRépondre0
TokenUnlocker
· 07-21 09:15
Qui est responsable de l'indemnisation après tout ce que vous avez dit?
Cetus Hacker attaque revue Révèle les lacunes de sécurité systémique dans l'industrie de la Finance décentralisée
Cetus Protocol a récemment publié un rapport de révision de la sécurité de l'attaque des hackers, suscitant un large intérêt dans l'industrie. Le rapport dévoile en détail les éléments techniques et les mesures de réponse d'urgence, ce qui en fait un modèle à suivre. Cependant, en expliquant les raisons de l'attaque, le rapport semble minimiser les enjeux, en se concentrant sur la responsabilité externe.
Le rapport explique en détail que la fonction checked_shlw de la bibliothèque integer-mate vérifie les erreurs, la qualifiant de "malentendu sémantique". Bien que cette description soit techniquement valide, elle évite habilement la responsabilité de Cetus.
Une analyse approfondie révèle que le succès d'une attaque de Hacker nécessite de remplir simultanément quatre conditions : un contrôle de dépassement d'erreur défaillant, des opérations de décalage importantes, des règles d'arrondi et un manque de vérification de la rationalité économique. Cetus présente des négligences évidentes sur chaque condition déclencheuse, comme l'acceptation d'entrées astronomiques, l'utilisation d'opérations de décalage dangereuses, la confiance totale dans les vérifications des bibliothèques externes, et le plus mortel est qu'aucune vérification de bon sens économique n'est effectuée avant d'exécuter directement lorsque le système calcule un résultat irrationnel.
Cela révèle de sérieux problèmes au sein de l'équipe Cetus dans les domaines suivants :
Manque de sensibilisation à la sécurité de la chaîne d'approvisionnement. Bien que des bibliothèques open source populaires soient utilisées, il n'y a pas une compréhension suffisante de leurs limites de sécurité et des risques potentiels.
Manque de talents en gestion des risques ayant une intuition financière. Permettre l'entrée de chiffres astronomiques déraisonnables montre que l'équipe a une compréhension insuffisante des limites du système financier.
Une dépendance excessive à l'audit de sécurité, négligeant l'importance de la validation interdisciplinaire. La sécurité moderne de la DeFi implique plusieurs domaines tels que les mathématiques, la cryptographie et l'économie, se fier uniquement à l'audit de code est loin d'être suffisant.
Cela reflète une lacune systémique de sécurité courante dans l'industrie DeFi : les équipes techniques manquent généralement d'une conscience de base des risques financiers.
À l'avenir, les projets DeFi doivent surmonter les limitations de la pensée purement technique et cultiver une véritable conscience de la sécurité des "ingénieurs financiers". Les mesures spécifiques peuvent inclure : l'introduction d'experts en gestion des risques financiers pour combler les lacunes de connaissances de l'équipe technique ; l'établissement d'un mécanisme d'audit et de révision multipartite, couvrant les audits de code et de modèles économiques ; le développement d'un "odorat financier", en simulant divers scénarios d'attaque et en élaborant des mesures de réponse.
Avec la maturité croissante de l'industrie, les vulnérabilités techniques au niveau du code vont progressivement diminuer, tandis que les "vulnérabilités de logique" liées à une frontière floue et à des responsabilités ambiguës deviendront le plus grand défi. Les sociétés d'audit ne peuvent garantir l'absence de vulnérabilités dans le code, mais la façon d'assurer que la "logique a des frontières" nécessite que l'équipe projet ait une compréhension et une maîtrise plus approfondies de l'essence des affaires.
L'avenir de la DeFi appartient à ceux qui non seulement maîtrisent les technologies de codage, mais aussi comprennent profondément la logique commerciale. Seule une véritable maîtrise des connaissances inter-domaines peut garantir une position gagnante dans cette industrie en rapide évolution.