O Cetus Protocol recentemente lançou um relatório de revisão de segurança sobre o ataque de hackers, que gerou ampla atenção na indústria. O relatório detalha as especificações técnicas e as medidas de resposta de emergência, sendo considerado de nível de manual. No entanto, ao explicar as causas do ataque, o relatório parece minimizar a questão, direcionando o foco para a responsabilidade externa.
O relatório destacou a função checked_shlw da biblioteca integer-mate que verifica erros, qualificando-a como "mal-entendido semântico". Embora esta descrição seja tecnicamente válida, ela habilmente evita a responsabilidade da própria Cetus.
Uma análise aprofundada revela que o sucesso de um ataque de Hacker requer a satisfação simultânea de quatro condições: verificação de estouro incorreta, operações de deslocamento em larga escala, regras de arredondamento para cima e falta de validação de racionalidade econômica. O Cetus apresenta descuidos evidentes em cada condição acionadora, como aceitar entradas de números astronômicos, realizar operações de deslocamento em larga escala perigosas, confiar completamente na verificação de bibliotecas externas, e o mais fatal, executar diretamente sem realizar qualquer verificação de bom senso econômico quando o sistema calcula resultados irracionais.
Isto expõe sérios problemas da equipa Cetus nas seguintes áreas:
Falta de consciência sobre a segurança da cadeia de suprimentos. Embora usem bibliotecas populares de código aberto, não compreendem totalmente suas fronteiras de segurança e riscos potenciais.
Falta de talentos em gestão de riscos com intuição financeira. Permitir a entrada de números astronômicos irracionais mostra que a equipe tem uma compreensão insuficiente dos limites do sistema financeiro.
Dependência excessiva de auditorias de segurança, ignorando a importância da validação das fronteiras interdisciplinares. A segurança moderna de DeFi envolve múltiplas áreas como matemática, criptografia e economia, confiar apenas na auditoria de código não é suficiente.
Isto reflete a deficiência sistêmica de segurança que é comum na indústria DeFi: as equipas técnicas geralmente carecem de uma consciência básica dos riscos financeiros.
No futuro, os projetos DeFi precisam superar as limitações do pensamento puramente técnico e cultivar a verdadeira consciência de segurança dos "engenheiros financeiros". As medidas específicas podem incluir: a introdução de especialistas em gestão de risco financeiro para preencher as lacunas de conhecimento da equipe técnica; estabelecer um mecanismo de auditoria e revisão de múltiplas partes, abrangendo auditorias de código e modelos econômicos; cultivar o "olfato financeiro", simulando vários cenários de ataque e desenvolvendo medidas de resposta.
À medida que a indústria se torna mais madura, as falhas técnicas ao nível do código irão gradualmente diminuir, enquanto as "falhas de consciência" na lógica de negócios, que têm fronteiras indefinidas e responsabilidades ambíguas, se tornarão o maior desafio. As empresas de auditoria só podem garantir que o código não tem falhas, mas como garantir que a "lógica tem fronteira" requer que as equipas de projeto tenham uma compreensão e capacidade de controle mais profundas sobre a essência do negócio.
O futuro do DeFi pertence àqueles que não só dominam a tecnologia de código, mas também têm uma compreensão profunda da lógica de negócios. Apenas aqueles que realmente dominam o conhecimento interdisciplinar poderão se manter invencíveis neste setor em rápida evolução.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
9 gostos
Recompensa
9
5
Partilhar
Comentar
0/400
GateUser-beba108d
· 07-21 09:39
Mais uma dependente de auditoria.
Ver originalResponder0
GasWrangler
· 07-21 09:33
tecnicamente falando, auditorias de segurança amadoras são sub-ótimas
Ver originalResponder0
MidnightSeller
· 07-21 09:19
Se não tiver competências essenciais, não brinque com o DeFi.
Ver originalResponder0
GateUser-75ee51e7
· 07-21 09:18
Com essa consciência de segurança, ainda vão lidar com finanças?
Análise do ataque hacker ao Cetus revela as lacunas de segurança sistêmica na indústria das Finanças Descentralizadas
O Cetus Protocol recentemente lançou um relatório de revisão de segurança sobre o ataque de hackers, que gerou ampla atenção na indústria. O relatório detalha as especificações técnicas e as medidas de resposta de emergência, sendo considerado de nível de manual. No entanto, ao explicar as causas do ataque, o relatório parece minimizar a questão, direcionando o foco para a responsabilidade externa.
O relatório destacou a função checked_shlw da biblioteca integer-mate que verifica erros, qualificando-a como "mal-entendido semântico". Embora esta descrição seja tecnicamente válida, ela habilmente evita a responsabilidade da própria Cetus.
Uma análise aprofundada revela que o sucesso de um ataque de Hacker requer a satisfação simultânea de quatro condições: verificação de estouro incorreta, operações de deslocamento em larga escala, regras de arredondamento para cima e falta de validação de racionalidade econômica. O Cetus apresenta descuidos evidentes em cada condição acionadora, como aceitar entradas de números astronômicos, realizar operações de deslocamento em larga escala perigosas, confiar completamente na verificação de bibliotecas externas, e o mais fatal, executar diretamente sem realizar qualquer verificação de bom senso econômico quando o sistema calcula resultados irracionais.
Isto expõe sérios problemas da equipa Cetus nas seguintes áreas:
Falta de consciência sobre a segurança da cadeia de suprimentos. Embora usem bibliotecas populares de código aberto, não compreendem totalmente suas fronteiras de segurança e riscos potenciais.
Falta de talentos em gestão de riscos com intuição financeira. Permitir a entrada de números astronômicos irracionais mostra que a equipe tem uma compreensão insuficiente dos limites do sistema financeiro.
Dependência excessiva de auditorias de segurança, ignorando a importância da validação das fronteiras interdisciplinares. A segurança moderna de DeFi envolve múltiplas áreas como matemática, criptografia e economia, confiar apenas na auditoria de código não é suficiente.
Isto reflete a deficiência sistêmica de segurança que é comum na indústria DeFi: as equipas técnicas geralmente carecem de uma consciência básica dos riscos financeiros.
No futuro, os projetos DeFi precisam superar as limitações do pensamento puramente técnico e cultivar a verdadeira consciência de segurança dos "engenheiros financeiros". As medidas específicas podem incluir: a introdução de especialistas em gestão de risco financeiro para preencher as lacunas de conhecimento da equipe técnica; estabelecer um mecanismo de auditoria e revisão de múltiplas partes, abrangendo auditorias de código e modelos econômicos; cultivar o "olfato financeiro", simulando vários cenários de ataque e desenvolvendo medidas de resposta.
À medida que a indústria se torna mais madura, as falhas técnicas ao nível do código irão gradualmente diminuir, enquanto as "falhas de consciência" na lógica de negócios, que têm fronteiras indefinidas e responsabilidades ambíguas, se tornarão o maior desafio. As empresas de auditoria só podem garantir que o código não tem falhas, mas como garantir que a "lógica tem fronteira" requer que as equipas de projeto tenham uma compreensão e capacidade de controle mais profundas sobre a essência do negócio.
O futuro do DeFi pertence àqueles que não só dominam a tecnologia de código, mas também têm uma compreensão profunda da lógica de negócios. Apenas aqueles que realmente dominam o conhecimento interdisciplinar poderão se manter invencíveis neste setor em rápida evolução.