Протокол Цетус нещодавно опублікував звіт про безпеку зломів, що викликало широке зацікавлення в галузі. У звіті докладно викладено технічні деталі та заходи реагування на надзвичайні ситуації, які можна вважати підручниковими. Однак, пояснюючи причини атаки, звіт, здається, уникає основної проблеми, зосереджуючи увагу на зовнішній відповідальності.
Звіт детально пояснює перевірку помилок функції checked_shlw бібліотеки integer-mate, класифікуючи її як "семантичне непорозуміння". Хоча це твердження технічно вірне, воно хитро обходить відповідальність самого Cetus.
Глибокий аналіз показує, що успіх атаки Хакера потребує одночасного виконання чотирьох умов: помилкова перевірка переповнення, значні зсуви, правила округлення в більшу сторону та відсутність перевірки економічної доцільності. Cetus має очевидні недоліки в кожному з тригерних умов, такі як прийом астрономічних даних на вхід, використання небезпечних значних зсувів, повна довіра до перевірок з зовнішніх бібліотек, а найсмертельніше - це те, що система не проводила жодної перевірки економічної доцільності, коли обчислювала нерозумні результати, а просто виконувала їх.
Це виявляє серйозні проблеми команди Cetus у наступних аспектах:
Відсутність усвідомлення безпеки захисту ланцюга постачання. Хоча використовуються популярні відкриті бібліотеки, але не було достатньо зрозуміло їхні межі безпеки та потенційні ризики.
Брак кадрів з фінансовою інтуїцією для управління ризиками. Дозволяючи вводити нерозумні астрономічні цифри, команда демонструє недостатнє розуміння меж фінансової системи.
Надмірна залежність від безпекового аудиту ігнорує важливість перевірки міждисциплінарних кордонів. Сучасна безпека DeFi охоплює кілька галузей: математику, криптографію та економіку, просте покладання на аудит коду є недостатнім.
Це відображає системну безпеку в індустрії DeFi: команди технологій загалом не мають основного фінансового ризикового усвідомлення.
У майбутньому проектам DeFi потрібно змінити обмеження чисто технічного мислення та виховати справжню обізнаність про безпеку "фінансових інженерів". Конкретні заходи можуть включати: залучення експертів з фінансового ризику для заповнення знань команди технологій; створення механізму багатостороннього аудиту, що охоплює аудит коду та економічних моделей; розвиток "фінансового нюху", моделювання різних сценаріїв атак та розробка заходів реагування.
З розвитком галузі технічні вразливості на рівні коду поступово зменшуватимуться, тоді як бізнес-логіка з неясними межами та неясними обов'язками, відома як "вразливість свідомості", стане найбільшою проблемою. Аудиторські компанії можуть лише гарантувати, що код не має вразливостей, але реалізація "логічних меж" потребує від проектної команди більш глибокого розуміння та контролю над сутністю бізнесу.
Майбутнє DeFi належить тим командам, які не лише мають міцні навички кодування, а й глибоко розуміють бізнес-логіку. Тільки справжнє володіння міждисциплінарними знаннями дозволить залишатися на плаву в цій швидко зростаючій галузі.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
9 лайків
Нагородити
9
5
Поділіться
Прокоментувати
0/400
GateUser-beba108d
· 07-21 09:39
Ще один, що покладається на аудит
Переглянути оригіналвідповісти на0
GasWrangler
· 07-21 09:33
технічно кажучи, аматорські сек-аудити є субоптимальними
Переглянути оригіналвідповісти на0
MidnightSeller
· 07-21 09:19
Не грайте в DeFi, якщо у вас немає основних навичок.
Переглянути оригіналвідповісти на0
GateUser-75ee51e7
· 07-21 09:18
З такою свідомістю безпеки ще й фінансами займатися?
Cetus Хакер атака повторний огляд Виявлення системних недоліків безпеки в Децентралізованих фінансах
Протокол Цетус нещодавно опублікував звіт про безпеку зломів, що викликало широке зацікавлення в галузі. У звіті докладно викладено технічні деталі та заходи реагування на надзвичайні ситуації, які можна вважати підручниковими. Однак, пояснюючи причини атаки, звіт, здається, уникає основної проблеми, зосереджуючи увагу на зовнішній відповідальності.
Звіт детально пояснює перевірку помилок функції checked_shlw бібліотеки integer-mate, класифікуючи її як "семантичне непорозуміння". Хоча це твердження технічно вірне, воно хитро обходить відповідальність самого Cetus.
Глибокий аналіз показує, що успіх атаки Хакера потребує одночасного виконання чотирьох умов: помилкова перевірка переповнення, значні зсуви, правила округлення в більшу сторону та відсутність перевірки економічної доцільності. Cetus має очевидні недоліки в кожному з тригерних умов, такі як прийом астрономічних даних на вхід, використання небезпечних значних зсувів, повна довіра до перевірок з зовнішніх бібліотек, а найсмертельніше - це те, що система не проводила жодної перевірки економічної доцільності, коли обчислювала нерозумні результати, а просто виконувала їх.
Це виявляє серйозні проблеми команди Cetus у наступних аспектах:
Відсутність усвідомлення безпеки захисту ланцюга постачання. Хоча використовуються популярні відкриті бібліотеки, але не було достатньо зрозуміло їхні межі безпеки та потенційні ризики.
Брак кадрів з фінансовою інтуїцією для управління ризиками. Дозволяючи вводити нерозумні астрономічні цифри, команда демонструє недостатнє розуміння меж фінансової системи.
Надмірна залежність від безпекового аудиту ігнорує важливість перевірки міждисциплінарних кордонів. Сучасна безпека DeFi охоплює кілька галузей: математику, криптографію та економіку, просте покладання на аудит коду є недостатнім.
Це відображає системну безпеку в індустрії DeFi: команди технологій загалом не мають основного фінансового ризикового усвідомлення.
У майбутньому проектам DeFi потрібно змінити обмеження чисто технічного мислення та виховати справжню обізнаність про безпеку "фінансових інженерів". Конкретні заходи можуть включати: залучення експертів з фінансового ризику для заповнення знань команди технологій; створення механізму багатостороннього аудиту, що охоплює аудит коду та економічних моделей; розвиток "фінансового нюху", моделювання різних сценаріїв атак та розробка заходів реагування.
З розвитком галузі технічні вразливості на рівні коду поступово зменшуватимуться, тоді як бізнес-логіка з неясними межами та неясними обов'язками, відома як "вразливість свідомості", стане найбільшою проблемою. Аудиторські компанії можуть лише гарантувати, що код не має вразливостей, але реалізація "логічних меж" потребує від проектної команди більш глибокого розуміння та контролю над сутністю бізнесу.
Майбутнє DeFi належить тим командам, які не лише мають міцні навички кодування, а й глибоко розуміють бізнес-логіку. Тільки справжнє володіння міждисциплінарними знаннями дозволить залишатися на плаву в цій швидко зростаючій галузі.