Revisión del incidente de ataque a Cetus: los proyectos de Finanzas descentralizadas necesitan urgentemente superar las limitaciones del pensamiento puramente técnico.
Cetus Protocol recientemente publicó un informe de revisión de seguridad sobre un ataque de Hacker, lo que ha generado un amplio seguimiento en la industria. Aunque el informe destaca en detalles técnicos y en la respuesta de emergencia, resulta algo reservado al explicar las raíces del ataque.
El informe se centra en discutir el error de verificación de la función checked_shlw en la biblioteca integer-mate, calificándolo como "malentendido semántico". Aunque esta afirmación es técnicamente correcta, parece que intencionalmente se busca desviar la responsabilidad hacia factores externos.
Sin embargo, tras un análisis detallado de la ruta de ataque, se descubrió que para que el Hacker pudiera implementar exitosamente el ataque, era necesario cumplir múltiples condiciones: verificación de desbordamiento incorrecta, operaciones de desplazamiento significativas, reglas de redondeo hacia arriba y falta de verificación de razonabilidad económica. Sorprendentemente, Cetus mostró negligencia en cada uno de los puntos clave.
Este incidente expone serios problemas en varios aspectos del equipo de Cetus:
Primero, no realizaron pruebas de seguridad adecuadas al usar bibliotecas externas. A pesar de que la biblioteca integer-mate tiene características de código abierto y es ampliamente utilizada, el equipo no comprendió a fondo los límites de seguridad de dicha biblioteca al gestionar activos tan enormes, ni establecieron un plan de contingencia adecuado. Esto refleja la falta de conciencia básica sobre la seguridad de la cadena de suministro por parte del equipo.
En segundo lugar, el sistema permite la entrada de números astronómicos irrazonables sin establecer límites adecuados. Aunque los protocolos DeFi buscan la descentralización, los sistemas financieros maduros aún requieren restricciones claras. Permitir la entrada de valores tan exagerados indica que el equipo carece de talento en gestión de riesgos con intuición financiera.
Al final, incluso después de múltiples auditorías de seguridad, no se pudieron detectar problemas con antelación. Esto refleja una dependencia excesiva del equipo del proyecto en las auditorías de seguridad externas, viéndolas como una garantía de exención de responsabilidad. Sin embargo, la verificación que cruza las fronteras de las matemáticas, la criptografía y la economía es precisamente la mayor zona ciega de la seguridad moderna de DeFi.
Este evento revela la debilidad sistémica de seguridad en la industria DeFi: los equipos dominados por la tecnología a menudo carecen de un "olfato para el riesgo financiero" básico. Según el informe de Cetus, el equipo parece no haber reflexionado profundamente sobre esto.
Para los proyectos DeFi, simplemente seguir los defectos a nivel técnico no es suficiente. Necesitan romper los límites del pensamiento puramente técnico y cultivar una verdadera conciencia de seguridad de "ingenieros financieros". Las medidas específicas pueden incluir: introducir expertos en gestión de riesgos financieros para compensar las lagunas de conocimiento del equipo técnico; establecer un mecanismo de auditoría múltiple, no solo centrándose en la auditoría de código, sino también prestando atención a la auditoría de modelos económicos; cultivar un "olfato financiero", simular varios escenarios de ataque y desarrollar estrategias de respuesta, manteniendo una alta vigilancia sobre operaciones anómalas.
Con el desarrollo de la industria, los problemas técnicos puramente a nivel de código pueden ir disminuyendo gradualmente, pero los "Bugs de conciencia" de lógica de negocio con fronteras difusas y responsabilidades poco claras se convertirán en un desafío mayor. Las empresas de auditoría de seguridad pueden garantizar que el código es correcto, pero asegurar que "la lógica tiene límites" requiere que el equipo del proyecto tenga una comprensión y capacidad de control más profundas sobre la esencia del negocio.
En el futuro, los líderes de la industria DeFi serán aquellos equipos que no solo tengan habilidades sólidas en tecnología de código, sino también una profunda comprensión de la lógica empresarial. Solo combinando la fuerza técnica con la perspicacia financiera se puede realmente mantenerse en una posición invulnerable en este campo de rápido desarrollo.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
22 me gusta
Recompensa
22
6
Republicar
Compartir
Comentar
0/400
CoffeeNFTs
· 07-26 16:01
¿Y eso todavía se lava? Maestro de echar culpas.
Ver originalesResponder0
BearMarketBuilder
· 07-24 19:10
Esta olla está un poco dura al girar.
Ver originalesResponder0
RektButSmiling
· 07-24 19:06
De todos modos, ser atrapado es mala suerte.
Ver originalesResponder0
TokenomicsTinfoilHat
· 07-24 19:02
El ensayo corto está muy bien escrito, echando la culpa de primera.
Revisión del incidente de ataque a Cetus: los proyectos de Finanzas descentralizadas necesitan urgentemente superar las limitaciones del pensamiento puramente técnico.
Cetus Protocol recientemente publicó un informe de revisión de seguridad sobre un ataque de Hacker, lo que ha generado un amplio seguimiento en la industria. Aunque el informe destaca en detalles técnicos y en la respuesta de emergencia, resulta algo reservado al explicar las raíces del ataque.
El informe se centra en discutir el error de verificación de la función checked_shlw en la biblioteca integer-mate, calificándolo como "malentendido semántico". Aunque esta afirmación es técnicamente correcta, parece que intencionalmente se busca desviar la responsabilidad hacia factores externos.
Sin embargo, tras un análisis detallado de la ruta de ataque, se descubrió que para que el Hacker pudiera implementar exitosamente el ataque, era necesario cumplir múltiples condiciones: verificación de desbordamiento incorrecta, operaciones de desplazamiento significativas, reglas de redondeo hacia arriba y falta de verificación de razonabilidad económica. Sorprendentemente, Cetus mostró negligencia en cada uno de los puntos clave.
Este incidente expone serios problemas en varios aspectos del equipo de Cetus:
Primero, no realizaron pruebas de seguridad adecuadas al usar bibliotecas externas. A pesar de que la biblioteca integer-mate tiene características de código abierto y es ampliamente utilizada, el equipo no comprendió a fondo los límites de seguridad de dicha biblioteca al gestionar activos tan enormes, ni establecieron un plan de contingencia adecuado. Esto refleja la falta de conciencia básica sobre la seguridad de la cadena de suministro por parte del equipo.
En segundo lugar, el sistema permite la entrada de números astronómicos irrazonables sin establecer límites adecuados. Aunque los protocolos DeFi buscan la descentralización, los sistemas financieros maduros aún requieren restricciones claras. Permitir la entrada de valores tan exagerados indica que el equipo carece de talento en gestión de riesgos con intuición financiera.
Al final, incluso después de múltiples auditorías de seguridad, no se pudieron detectar problemas con antelación. Esto refleja una dependencia excesiva del equipo del proyecto en las auditorías de seguridad externas, viéndolas como una garantía de exención de responsabilidad. Sin embargo, la verificación que cruza las fronteras de las matemáticas, la criptografía y la economía es precisamente la mayor zona ciega de la seguridad moderna de DeFi.
Este evento revela la debilidad sistémica de seguridad en la industria DeFi: los equipos dominados por la tecnología a menudo carecen de un "olfato para el riesgo financiero" básico. Según el informe de Cetus, el equipo parece no haber reflexionado profundamente sobre esto.
Para los proyectos DeFi, simplemente seguir los defectos a nivel técnico no es suficiente. Necesitan romper los límites del pensamiento puramente técnico y cultivar una verdadera conciencia de seguridad de "ingenieros financieros". Las medidas específicas pueden incluir: introducir expertos en gestión de riesgos financieros para compensar las lagunas de conocimiento del equipo técnico; establecer un mecanismo de auditoría múltiple, no solo centrándose en la auditoría de código, sino también prestando atención a la auditoría de modelos económicos; cultivar un "olfato financiero", simular varios escenarios de ataque y desarrollar estrategias de respuesta, manteniendo una alta vigilancia sobre operaciones anómalas.
Con el desarrollo de la industria, los problemas técnicos puramente a nivel de código pueden ir disminuyendo gradualmente, pero los "Bugs de conciencia" de lógica de negocio con fronteras difusas y responsabilidades poco claras se convertirán en un desafío mayor. Las empresas de auditoría de seguridad pueden garantizar que el código es correcto, pero asegurar que "la lógica tiene límites" requiere que el equipo del proyecto tenga una comprensión y capacidad de control más profundas sobre la esencia del negocio.
En el futuro, los líderes de la industria DeFi serán aquellos equipos que no solo tengan habilidades sólidas en tecnología de código, sino también una profunda comprensión de la lógica empresarial. Solo combinando la fuerza técnica con la perspicacia financiera se puede realmente mantenerse en una posición invulnerable en este campo de rápido desarrollo.