Giao thức Cetus gần đây đã phát hành một báo cáo tổng kết an ninh sau cuộc tấn công của hacker, gây ra sự quan tâm rộng rãi trong ngành. Báo cáo tiết lộ chi tiết kỹ thuật và các biện pháp ứng phó khẩn cấp, được coi là mức độ sách giáo khoa. Tuy nhiên, khi giải thích nguyên nhân của cuộc tấn công, báo cáo dường như đã lướt qua vấn đề chính, chuyển trọng tâm sang trách nhiệm bên ngoài.
Báo cáo nhấn mạnh giải thích về hàm checked_shlw của thư viện integer-mate kiểm tra lỗi, coi đó là "hiểu nhầm ngữ nghĩa". Mặc dù mô tả này về mặt kỹ thuật là chính xác, nhưng nó khéo léo tránh né trách nhiệm của chính Cetus.
Phân tích sâu cho thấy, sự thành công của cuộc tấn công Hacker cần phải đáp ứng bốn điều kiện cùng một lúc: kiểm tra tràn số sai, phép toán dịch lớn, quy tắc làm tròn lên và thiếu xác minh tính hợp lý kinh tế. Cetus có nhiều sơ hở rõ rệt ở mỗi điều kiện kích hoạt, chẳng hạn như chấp nhận đầu vào số thiên văn, sử dụng phép toán dịch lớn nguy hiểm, hoàn toàn tin tưởng vào việc kiểm tra thư viện bên ngoài, điều chết người nhất là khi hệ thống tính toán ra kết quả không hợp lý lại không thực hiện bất kỳ kiểm tra kiến thức kinh tế nào mà đã thực thi ngay.
Điều này phơi bày những vấn đề nghiêm trọng của đội ngũ Cetus trong các lĩnh vực sau:
Thiếu nhận thức về bảo vệ an ninh chuỗi cung ứng. Mặc dù sử dụng thư viện mã nguồn mở phổ biến, nhưng chưa hiểu đầy đủ các ranh giới an ninh và rủi ro tiềm ẩn.
Thiếu hụt nhân tài quản lý rủi ro có trực giác tài chính. Cho phép nhập những con số khổng lồ không hợp lý, cho thấy đội ngũ thiếu nhận thức về giới hạn của hệ thống tài chính.
Việc quá phụ thuộc vào kiểm toán an ninh, đã bỏ qua tầm quan trọng của việc xác minh qua các ranh giới liên ngành. An ninh DeFi hiện đại liên quan đến nhiều lĩnh vực như toán học, mật mã và kinh tế học, chỉ dựa vào kiểm toán mã nguồn là không đủ.
Điều này phản ánh sự thiếu sót về an ninh hệ thống phổ biến trong ngành DeFi: các đội ngũ kỹ thuật thường thiếu nhận thức cơ bản về rủi ro tài chính.
Trong tương lai, các dự án DeFi cần thay đổi giới hạn của tư duy thuần kỹ thuật và phát triển nhận thức an toàn cho những "kỹ sư tài chính" thực thụ. Các biện pháp cụ thể có thể bao gồm: mời các chuyên gia quản lý rủi ro tài chính để bù đắp khoảng trống kiến thức của đội ngũ kỹ thuật; thiết lập cơ chế kiểm toán đa bên, bao gồm kiểm toán mã và mô hình kinh tế; phát triển "khứu giác tài chính", mô phỏng các kịch bản tấn công khác nhau và xây dựng các biện pháp ứng phó.
Khi ngành công nghiệp ngày càng trưởng thành, các lỗ hổng kỹ thuật ở cấp độ mã sẽ dần giảm bớt, trong khi các "lỗ hổng ý thức" trong logic kinh doanh không rõ ràng và trách nhiệm mơ hồ sẽ trở thành thách thức lớn nhất. Các công ty kiểm toán chỉ có thể đảm bảo rằng mã không có lỗ hổng, nhưng cách để đạt được "logic có ranh giới" đòi hỏi đội ngũ dự án phải có hiểu biết và khả năng kiểm soát sâu sắc hơn về bản chất của doanh nghiệp.
Tương lai của DeFi thuộc về những đội ngũ không chỉ có kỹ thuật mã hóa vững vàng, mà còn hiểu rõ về logic kinh doanh. Chỉ khi thực sự nắm vững kiến thức liên ngành, họ mới có thể đứng vững trong ngành công nghiệp phát triển nhanh chóng này.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
9 thích
Phần thưởng
9
5
Chia sẻ
Bình luận
0/400
GateUser-beba108d
· 07-21 09:39
Lại là một cái dựa vào kiểm toán.
Xem bản gốcTrả lời0
GasWrangler
· 07-21 09:33
nói một cách kỹ thuật, kiểm toán bảo mật nghiệp dư là không tối ưu
Xem bản gốcTrả lời0
MidnightSeller
· 07-21 09:19
Nếu không có năng lực cốt lõi thì đừng chơi defi.
Xem bản gốcTrả lời0
GateUser-75ee51e7
· 07-21 09:18
Với ý thức an toàn như thế này, còn làm tài chính gì?
Xem bản gốcTrả lời0
TokenUnlocker
· 07-21 09:15
Nói nhiều như vậy ai sẽ chịu trách nhiệm bồi thường?
Phân tích lại vụ tấn công hacker Cetus tiết lộ điểm yếu an ninh hệ thống trong ngành Tài chính phi tập trung
Giao thức Cetus gần đây đã phát hành một báo cáo tổng kết an ninh sau cuộc tấn công của hacker, gây ra sự quan tâm rộng rãi trong ngành. Báo cáo tiết lộ chi tiết kỹ thuật và các biện pháp ứng phó khẩn cấp, được coi là mức độ sách giáo khoa. Tuy nhiên, khi giải thích nguyên nhân của cuộc tấn công, báo cáo dường như đã lướt qua vấn đề chính, chuyển trọng tâm sang trách nhiệm bên ngoài.
Báo cáo nhấn mạnh giải thích về hàm checked_shlw của thư viện integer-mate kiểm tra lỗi, coi đó là "hiểu nhầm ngữ nghĩa". Mặc dù mô tả này về mặt kỹ thuật là chính xác, nhưng nó khéo léo tránh né trách nhiệm của chính Cetus.
Phân tích sâu cho thấy, sự thành công của cuộc tấn công Hacker cần phải đáp ứng bốn điều kiện cùng một lúc: kiểm tra tràn số sai, phép toán dịch lớn, quy tắc làm tròn lên và thiếu xác minh tính hợp lý kinh tế. Cetus có nhiều sơ hở rõ rệt ở mỗi điều kiện kích hoạt, chẳng hạn như chấp nhận đầu vào số thiên văn, sử dụng phép toán dịch lớn nguy hiểm, hoàn toàn tin tưởng vào việc kiểm tra thư viện bên ngoài, điều chết người nhất là khi hệ thống tính toán ra kết quả không hợp lý lại không thực hiện bất kỳ kiểm tra kiến thức kinh tế nào mà đã thực thi ngay.
Điều này phơi bày những vấn đề nghiêm trọng của đội ngũ Cetus trong các lĩnh vực sau:
Thiếu nhận thức về bảo vệ an ninh chuỗi cung ứng. Mặc dù sử dụng thư viện mã nguồn mở phổ biến, nhưng chưa hiểu đầy đủ các ranh giới an ninh và rủi ro tiềm ẩn.
Thiếu hụt nhân tài quản lý rủi ro có trực giác tài chính. Cho phép nhập những con số khổng lồ không hợp lý, cho thấy đội ngũ thiếu nhận thức về giới hạn của hệ thống tài chính.
Việc quá phụ thuộc vào kiểm toán an ninh, đã bỏ qua tầm quan trọng của việc xác minh qua các ranh giới liên ngành. An ninh DeFi hiện đại liên quan đến nhiều lĩnh vực như toán học, mật mã và kinh tế học, chỉ dựa vào kiểm toán mã nguồn là không đủ.
Điều này phản ánh sự thiếu sót về an ninh hệ thống phổ biến trong ngành DeFi: các đội ngũ kỹ thuật thường thiếu nhận thức cơ bản về rủi ro tài chính.
Trong tương lai, các dự án DeFi cần thay đổi giới hạn của tư duy thuần kỹ thuật và phát triển nhận thức an toàn cho những "kỹ sư tài chính" thực thụ. Các biện pháp cụ thể có thể bao gồm: mời các chuyên gia quản lý rủi ro tài chính để bù đắp khoảng trống kiến thức của đội ngũ kỹ thuật; thiết lập cơ chế kiểm toán đa bên, bao gồm kiểm toán mã và mô hình kinh tế; phát triển "khứu giác tài chính", mô phỏng các kịch bản tấn công khác nhau và xây dựng các biện pháp ứng phó.
Khi ngành công nghiệp ngày càng trưởng thành, các lỗ hổng kỹ thuật ở cấp độ mã sẽ dần giảm bớt, trong khi các "lỗ hổng ý thức" trong logic kinh doanh không rõ ràng và trách nhiệm mơ hồ sẽ trở thành thách thức lớn nhất. Các công ty kiểm toán chỉ có thể đảm bảo rằng mã không có lỗ hổng, nhưng cách để đạt được "logic có ranh giới" đòi hỏi đội ngũ dự án phải có hiểu biết và khả năng kiểm soát sâu sắc hơn về bản chất của doanh nghiệp.
Tương lai của DeFi thuộc về những đội ngũ không chỉ có kỹ thuật mã hóa vững vàng, mà còn hiểu rõ về logic kinh doanh. Chỉ khi thực sự nắm vững kiến thức liên ngành, họ mới có thể đứng vững trong ngành công nghiệp phát triển nhanh chóng này.