أصدر بروتوكول سيتوس مؤخرًا تقريرًا عن مراجعة أمان هجوم هاكر ، مما أثار متابعة واسعة في الصناعة. على الرغم من أن التقرير يظهر أداءً ممتازًا في التفاصيل الفنية واستجابة الطوارئ ، إلا أنه يبدو أنه متحفظ في تفسير أسباب الهجوم.
تناقش الوثيقة بشكل رئيسي الأخطاء في فحص دالة checked_shlw في مكتبة integer-mate، ووصفت هذه الأخطاء بأنها "سوء فهم دلالي". على الرغم من أن هذا القول صحيح من الناحية التقنية، إلا أنه يبدو أنه يهدف إلى تحويل المسؤولية إلى عوامل خارجية.
ومع ذلك، بعد تحليل مسار الهجوم بدقة، تم اكتشاف أن هاكر يمكنه تنفيذ الهجوم بنجاح فقط إذا تم تحقيق عدة شروط في الوقت نفسه: فحص تجاوز خطأ، عمليات إزاحة كبيرة، قواعد التقريب للأعلى، وغياب التحقق من الجدوى الاقتصادية. من المدهش أن Cetus قد أظهر إهمالًا في كل مرحلة حاسمة.
كشفت هذه الحادثة عن وجود مشكلات خطيرة في فريق Cetus في عدة جوانب:
أولاً، لم يقوموا بإجراء اختبارات أمان كافية عند استخدام المكتبات الخارجية. على الرغم من أن مكتبة integer-mate تتميز بكونها مفتوحة المصدر وتستخدم على نطاق واسع، إلا أن الفريق لم يتعمق في فهم حدود أمان تلك المكتبة أثناء إدارة مثل هذه الأصول الضخمة، ولم يضعوا خطط بديلة مناسبة. وهذا يعكس نقصًا في الوعي الأساسي بأمان سلسلة التوريد لدى الفريق.
ثانياً، يسمح النظام بإدخال أرقام فلكية غير معقولة دون تحديد حدود مناسبة. على الرغم من أن بروتوكولات DeFi تسعى إلى اللامركزية، إلا أن الأنظمة المالية الناضجة لا تزال بحاجة إلى قيود واضحة. السماح بإدخال مثل هذه القيم المبالغ فيها يدل على نقص في المواهب في إدارة المخاطر التي تمتلك حاسة مالية.
أخيراً، حتى بعد عدة جولات من التدقيق الأمني، لم يتمكنوا من اكتشاف المشكلة مسبقاً. وهذا يعكس اعتماد المشروع المفرط على التدقيق الأمني الخارجي، حيث اعتبروه ضماناً للإعفاء من المسؤولية. ومع ذلك، فإن التحقق الذي يتجاوز حدود الرياضيات وعلم التشفير والاقتصاد هو بالضبط أكبر منطقة عمياء في أمان DeFi الحديث.
هذا الحدث يكشف عن الثغرات الأمنية النظامية الموجودة في صناعة DeFi: الفرق التي تهيمن عليها التكنولوجيا غالباً ما تفتقر إلى "حاسة المخاطر المالية" الأساسية. من تقرير Cetus، يبدو أن الفريق لم يتعمق في التفكير في هذه النقطة.
بالنسبة لمشاريع DeFi، فإن التركيز فقط على العيوب من الناحية التقنية ليس كافيًا على الإطلاق. يحتاجون إلى كسر قيود التفكير الفني البحت، وزرع الوعي الأمني الحقيقي لدى "مهندسي المال". يمكن أن تشمل التدابير المحددة: إدخال خبراء في المخاطر المالية لتعويض الفجوات المعرفية لدى الفريق التقني؛ إنشاء آلية تدقيق متعددة الأطراف، لا تركز فقط على تدقيق الشيفرات، بل تعطي أهمية أيضًا لتدقيق النماذج الاقتصادية؛ تنمية "حاسة المال"، محاكاة سيناريوهات الهجوم المختلفة ووضع استراتيجيات للتعامل معها، والحفاظ على اليقظة العالية تجاه العمليات غير العادية.
مع تطور الصناعة، قد تنخفض مشكلات التقنية المتعلقة بالكود الخالص تدريجياً، لكن من المحتمل أن تصبح "أخطاء الوعي" الناتجة عن عدم وضوح الحدود والغموض في المسؤوليات تحدياً أكبر. يمكن لشركات تدقيق الأمان ضمان عدم وجود أخطاء في الكود، ولكن كيفية ضمان "وجود حدود للمنطق" تتطلب من فريق المشروع فهم أعمق وقدرة على التحكم في جوهر العمل.
في المستقبل، ستكون الشركات الرائدة في صناعة DeFi هي تلك الفرق التي تتمتع ليس فقط بمهارات تقنية قوية في البرمجة، ولكن أيضًا بفهم عميق للمنطق التجاري. فقط من خلال دمج القوة التقنية مع البصيرة المالية، يمكن أن تبقى في موقع القوة في هذا المجال سريع التطور.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 22
أعجبني
22
6
إعادة النشر
مشاركة
تعليق
0/400
CoffeeNFTs
· 07-26 16:01
هل هذا حقًا غسيل؟ بارع في إلقاء اللوم.
شاهد النسخة الأصليةرد0
BearMarketBuilder
· 07-24 19:10
هذه المقلاة تدور بشكل غير سلس قليلاً
شاهد النسخة الأصليةرد0
RektButSmiling
· 07-24 19:06
بغض النظر، تم الطهي في وعاء هو حظ سيء.
شاهد النسخة الأصليةرد0
TokenomicsTinfoilHat
· 07-24 19:02
المقالة القصيرة مكتوبة بشكل جيد للغاية، وإلقاء اللوم ممتاز.
استعراض حادثة هجوم Cetus: مشاريع التمويل اللامركزي بحاجة ماسة لتجاوز قيود التفكير الفني البحت
أصدر بروتوكول سيتوس مؤخرًا تقريرًا عن مراجعة أمان هجوم هاكر ، مما أثار متابعة واسعة في الصناعة. على الرغم من أن التقرير يظهر أداءً ممتازًا في التفاصيل الفنية واستجابة الطوارئ ، إلا أنه يبدو أنه متحفظ في تفسير أسباب الهجوم.
تناقش الوثيقة بشكل رئيسي الأخطاء في فحص دالة checked_shlw في مكتبة integer-mate، ووصفت هذه الأخطاء بأنها "سوء فهم دلالي". على الرغم من أن هذا القول صحيح من الناحية التقنية، إلا أنه يبدو أنه يهدف إلى تحويل المسؤولية إلى عوامل خارجية.
ومع ذلك، بعد تحليل مسار الهجوم بدقة، تم اكتشاف أن هاكر يمكنه تنفيذ الهجوم بنجاح فقط إذا تم تحقيق عدة شروط في الوقت نفسه: فحص تجاوز خطأ، عمليات إزاحة كبيرة، قواعد التقريب للأعلى، وغياب التحقق من الجدوى الاقتصادية. من المدهش أن Cetus قد أظهر إهمالًا في كل مرحلة حاسمة.
كشفت هذه الحادثة عن وجود مشكلات خطيرة في فريق Cetus في عدة جوانب:
أولاً، لم يقوموا بإجراء اختبارات أمان كافية عند استخدام المكتبات الخارجية. على الرغم من أن مكتبة integer-mate تتميز بكونها مفتوحة المصدر وتستخدم على نطاق واسع، إلا أن الفريق لم يتعمق في فهم حدود أمان تلك المكتبة أثناء إدارة مثل هذه الأصول الضخمة، ولم يضعوا خطط بديلة مناسبة. وهذا يعكس نقصًا في الوعي الأساسي بأمان سلسلة التوريد لدى الفريق.
ثانياً، يسمح النظام بإدخال أرقام فلكية غير معقولة دون تحديد حدود مناسبة. على الرغم من أن بروتوكولات DeFi تسعى إلى اللامركزية، إلا أن الأنظمة المالية الناضجة لا تزال بحاجة إلى قيود واضحة. السماح بإدخال مثل هذه القيم المبالغ فيها يدل على نقص في المواهب في إدارة المخاطر التي تمتلك حاسة مالية.
أخيراً، حتى بعد عدة جولات من التدقيق الأمني، لم يتمكنوا من اكتشاف المشكلة مسبقاً. وهذا يعكس اعتماد المشروع المفرط على التدقيق الأمني الخارجي، حيث اعتبروه ضماناً للإعفاء من المسؤولية. ومع ذلك، فإن التحقق الذي يتجاوز حدود الرياضيات وعلم التشفير والاقتصاد هو بالضبط أكبر منطقة عمياء في أمان DeFi الحديث.
هذا الحدث يكشف عن الثغرات الأمنية النظامية الموجودة في صناعة DeFi: الفرق التي تهيمن عليها التكنولوجيا غالباً ما تفتقر إلى "حاسة المخاطر المالية" الأساسية. من تقرير Cetus، يبدو أن الفريق لم يتعمق في التفكير في هذه النقطة.
بالنسبة لمشاريع DeFi، فإن التركيز فقط على العيوب من الناحية التقنية ليس كافيًا على الإطلاق. يحتاجون إلى كسر قيود التفكير الفني البحت، وزرع الوعي الأمني الحقيقي لدى "مهندسي المال". يمكن أن تشمل التدابير المحددة: إدخال خبراء في المخاطر المالية لتعويض الفجوات المعرفية لدى الفريق التقني؛ إنشاء آلية تدقيق متعددة الأطراف، لا تركز فقط على تدقيق الشيفرات، بل تعطي أهمية أيضًا لتدقيق النماذج الاقتصادية؛ تنمية "حاسة المال"، محاكاة سيناريوهات الهجوم المختلفة ووضع استراتيجيات للتعامل معها، والحفاظ على اليقظة العالية تجاه العمليات غير العادية.
مع تطور الصناعة، قد تنخفض مشكلات التقنية المتعلقة بالكود الخالص تدريجياً، لكن من المحتمل أن تصبح "أخطاء الوعي" الناتجة عن عدم وضوح الحدود والغموض في المسؤوليات تحدياً أكبر. يمكن لشركات تدقيق الأمان ضمان عدم وجود أخطاء في الكود، ولكن كيفية ضمان "وجود حدود للمنطق" تتطلب من فريق المشروع فهم أعمق وقدرة على التحكم في جوهر العمل.
في المستقبل، ستكون الشركات الرائدة في صناعة DeFi هي تلك الفرق التي تتمتع ليس فقط بمهارات تقنية قوية في البرمجة، ولكن أيضًا بفهم عميق للمنطق التجاري. فقط من خلال دمج القوة التقنية مع البصيرة المالية، يمكن أن تبقى في موقع القوة في هذا المجال سريع التطور.