Retour sur l'incident d'attaque de Cetus : les projets de Finance décentralisée doivent impérativement dépasser les limites de la pensée purement technique.
Le protocole Cetus a récemment publié un rapport de retour d'expérience sur la sécurité des attaques de hackers, suscitant un large intérêt dans l'industrie. Bien que le rapport excelle dans les détails techniques et la réponse d'urgence, il semble être réservé lorsqu'il s'agit d'expliquer les origines de l'attaque.
Le rapport se concentre sur l'erreur de vérification de la fonction checked_shlw dans la bibliothèque integer-mate, la qualifiant de "malentendu sémantique". Bien que cette affirmation soit techniquement correcte, elle semble avoir pour but de transférer la responsabilité vers des facteurs externes.
Cependant, après une analyse approfondie des chemins d'attaque, il a été constaté que pour que le Hacker puisse réussir son attaque, plusieurs conditions doivent être remplies simultanément : une vérification de débordement incorrecte, des opérations de décalage importantes, des règles d'arrondi supérieur et un manque de vérification de la rationalité économique. Il est surprenant que Cetus ait négligé chaque étape clé.
Cet événement a mis en lumière des problèmes graves au sein de l'équipe de Cetus dans plusieurs domaines :
Tout d'abord, ils n'ont pas effectué de tests de sécurité adéquats lors de l'utilisation de bibliothèques externes. Bien que la bibliothèque integer-mate soit open source et largement utilisée, l'équipe n'a pas approfondi les limites de sécurité de cette bibliothèque lors de la gestion d'actifs aussi colossaux, et n'a pas mis en place de solutions de secours appropriées. Cela reflète un manque de sensibilisation de l'équipe à la sécurité de la chaîne d'approvisionnement.
Deuxièmement, le système permet l'entrée de nombres astronomiques déraisonnables sans définir de limites appropriées. Bien que les protocoles DeFi visent à la décentralisation, un système financier mature nécessite toujours des restrictions claires. Permettre l'entrée de valeurs aussi exagérées indique un manque de personnel en gestion des risques ayant un sens financier au sein de l'équipe.
Enfin, même après plusieurs audits de sécurité, il n'a pas été possible de détecter les problèmes à l'avance. Cela reflète une dépendance excessive de la part de l'équipe du projet envers les audits de sécurité externes, les considérant comme une garantie d'exonération de responsabilité. Cependant, la vérification qui traverse les frontières des mathématiques, de la cryptographie et de l'économie est précisément le plus grand angle mort de la sécurité moderne de la DeFi.
Cet événement révèle les lacunes systémiques en matière de sécurité dans l'industrie DeFi : les équipes dominées par la technologie manquent souvent d'un "sens du risque financier" de base. D'après le rapport de Cetus, l'équipe ne semble pas avoir profondément réfléchi à ce sujet.
Pour les projets DeFi, se concentrer uniquement sur les défauts techniques est loin d'être suffisant. Ils doivent dépasser les limites de la pensée purement technique et cultiver une véritable conscience de la sécurité des "ingénieurs financiers". Les mesures spécifiques peuvent inclure : l'introduction d'experts en gestion des risques financiers pour combler les lacunes de connaissances de l'équipe technique ; établir un mécanisme d'audit multipartite, en portant non seulement attention à l'audit du code, mais aussi à l'audit du modèle économique ; développer un "nez financier", simuler divers scénarios d'attaque et élaborer des stratégies de réponse, tout en restant hautement vigilant face aux opérations anormales.
Avec le développement de l'industrie, les problèmes techniques purement liés au code pourraient diminuer progressivement, mais les "bugs de conscience" liés à une logique commerciale floue et à des responsabilités mal définies deviendront un plus grand défi. Les entreprises d'audit de sécurité peuvent garantir l'absence d'erreurs dans le code, mais garantir que "la logique a des limites" nécessite que l'équipe de projet ait une compréhension plus approfondie et un meilleur contrôle de l'essence des affaires.
À l'avenir, les leaders de l'industrie DeFi seront ceux qui ont non seulement des compétences techniques solides en matière de code, mais aussi une compréhension approfondie de la logique commerciale. Ce n'est qu'en combinant la puissance technique avec l'insight financier qu'il sera possible de se maintenir véritablement dans ce domaine en rapide évolution.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
22 J'aime
Récompense
22
6
Reposter
Partager
Commentaire
0/400
CoffeeNFTs
· 07-26 16:01
C'est tout ce qu'il a à laver ? Maître du renvoi de responsabilité.
Voir l'originalRépondre0
BearMarketBuilder
· 07-24 19:10
Cette poêle a un peu trop de rigidité.
Voir l'originalRépondre0
RektButSmiling
· 07-24 19:06
De toute façon, être dans le pot est aussi une mauvaise chance.
Voir l'originalRépondre0
TokenomicsTinfoilHat
· 07-24 19:02
La petite rédaction est très bonne, le transfert de responsabilité est de premier ordre.
Voir l'originalRépondre0
hodl_therapist
· 07-24 18:58
Des excuses bidon, qui ne sait pas rejeter la faute ?
Retour sur l'incident d'attaque de Cetus : les projets de Finance décentralisée doivent impérativement dépasser les limites de la pensée purement technique.
Le protocole Cetus a récemment publié un rapport de retour d'expérience sur la sécurité des attaques de hackers, suscitant un large intérêt dans l'industrie. Bien que le rapport excelle dans les détails techniques et la réponse d'urgence, il semble être réservé lorsqu'il s'agit d'expliquer les origines de l'attaque.
Le rapport se concentre sur l'erreur de vérification de la fonction checked_shlw dans la bibliothèque integer-mate, la qualifiant de "malentendu sémantique". Bien que cette affirmation soit techniquement correcte, elle semble avoir pour but de transférer la responsabilité vers des facteurs externes.
Cependant, après une analyse approfondie des chemins d'attaque, il a été constaté que pour que le Hacker puisse réussir son attaque, plusieurs conditions doivent être remplies simultanément : une vérification de débordement incorrecte, des opérations de décalage importantes, des règles d'arrondi supérieur et un manque de vérification de la rationalité économique. Il est surprenant que Cetus ait négligé chaque étape clé.
Cet événement a mis en lumière des problèmes graves au sein de l'équipe de Cetus dans plusieurs domaines :
Tout d'abord, ils n'ont pas effectué de tests de sécurité adéquats lors de l'utilisation de bibliothèques externes. Bien que la bibliothèque integer-mate soit open source et largement utilisée, l'équipe n'a pas approfondi les limites de sécurité de cette bibliothèque lors de la gestion d'actifs aussi colossaux, et n'a pas mis en place de solutions de secours appropriées. Cela reflète un manque de sensibilisation de l'équipe à la sécurité de la chaîne d'approvisionnement.
Deuxièmement, le système permet l'entrée de nombres astronomiques déraisonnables sans définir de limites appropriées. Bien que les protocoles DeFi visent à la décentralisation, un système financier mature nécessite toujours des restrictions claires. Permettre l'entrée de valeurs aussi exagérées indique un manque de personnel en gestion des risques ayant un sens financier au sein de l'équipe.
Enfin, même après plusieurs audits de sécurité, il n'a pas été possible de détecter les problèmes à l'avance. Cela reflète une dépendance excessive de la part de l'équipe du projet envers les audits de sécurité externes, les considérant comme une garantie d'exonération de responsabilité. Cependant, la vérification qui traverse les frontières des mathématiques, de la cryptographie et de l'économie est précisément le plus grand angle mort de la sécurité moderne de la DeFi.
Cet événement révèle les lacunes systémiques en matière de sécurité dans l'industrie DeFi : les équipes dominées par la technologie manquent souvent d'un "sens du risque financier" de base. D'après le rapport de Cetus, l'équipe ne semble pas avoir profondément réfléchi à ce sujet.
Pour les projets DeFi, se concentrer uniquement sur les défauts techniques est loin d'être suffisant. Ils doivent dépasser les limites de la pensée purement technique et cultiver une véritable conscience de la sécurité des "ingénieurs financiers". Les mesures spécifiques peuvent inclure : l'introduction d'experts en gestion des risques financiers pour combler les lacunes de connaissances de l'équipe technique ; établir un mécanisme d'audit multipartite, en portant non seulement attention à l'audit du code, mais aussi à l'audit du modèle économique ; développer un "nez financier", simuler divers scénarios d'attaque et élaborer des stratégies de réponse, tout en restant hautement vigilant face aux opérations anormales.
Avec le développement de l'industrie, les problèmes techniques purement liés au code pourraient diminuer progressivement, mais les "bugs de conscience" liés à une logique commerciale floue et à des responsabilités mal définies deviendront un plus grand défi. Les entreprises d'audit de sécurité peuvent garantir l'absence d'erreurs dans le code, mais garantir que "la logique a des limites" nécessite que l'équipe de projet ait une compréhension plus approfondie et un meilleur contrôle de l'essence des affaires.
À l'avenir, les leaders de l'industrie DeFi seront ceux qui ont non seulement des compétences techniques solides en matière de code, mais aussi une compréhension approfondie de la logique commerciale. Ce n'est qu'en combinant la puissance technique avec l'insight financier qu'il sera possible de se maintenir véritablement dans ce domaine en rapide évolution.