Cetus Protocol baru-baru ini merilis laporan ulasan keamanan serangan Hacker, yang memicu perhatian luas di industri. Meskipun laporan tersebut menunjukkan keunggulan dalam rincian teknis dan respons darurat, namun saat menjelaskan akar serangan, tampaknya ada beberapa keberatan.
Laporan ini secara khusus membahas kesalahan pemeriksaan pada fungsi checked_shlw dalam pustaka integer-mate, yang dikualifikasikan sebagai "kesalahpahaman semantik". Pernyataan ini meskipun secara teknis tidak salah, tampaknya sengaja mengalihkan tanggung jawab kepada faktor eksternal.
Namun, setelah menganalisis jalur serangan dengan cermat, ditemukan bahwa Hacker dapat berhasil melaksanakan serangan hanya jika beberapa kondisi terpenuhi secara bersamaan: pemeriksaan overflow yang salah, operasi pergeseran yang besar, aturan pembulatan ke atas, dan kurangnya verifikasi kelayakan ekonomi. Yang mengejutkan, Cetus mengabaikan pada setiap tahap kunci.
Kejadian ini mengungkapkan bahwa tim Cetus memiliki masalah serius dalam beberapa aspek:
Pertama, mereka tidak melakukan pengujian keamanan yang memadai saat menggunakan pustaka eksternal. Meskipun pustaka integer-mate memiliki sifat sumber terbuka dan aplikasi yang luas, tim tidak memahami batasan keamanan pustaka tersebut secara mendalam saat mengelola aset sebesar itu, dan juga tidak mengembangkan rencana cadangan yang tepat. Ini mencerminkan kurangnya kesadaran dasar tim tentang keamanan rantai pasokan.
Kedua, sistem memungkinkan input angka astronomi yang tidak masuk akal tanpa menetapkan batasan yang sesuai. Meskipun protokol DeFi mengejar desentralisasi, sistem keuangan yang matang tetap memerlukan batasan yang jelas. Mengizinkan input nilai yang begitu berlebihan menunjukkan bahwa tim kekurangan orang-orang yang memiliki intuisi keuangan dalam manajemen risiko.
Akhirnya, meskipun telah melalui beberapa putaran audit keamanan, masalah tersebut tetap tidak terdeteksi sebelumnya. Ini mencerminkan ketergantungan berlebihan proyek pada audit keamanan eksternal, yang dianggap sebagai perlindungan dari tanggung jawab. Namun, melintasi batasan matematika, kriptografi, dan ekonomi untuk melakukan verifikasi justru merupakan titik buta terbesar dalam keamanan DeFi modern.
Peristiwa ini mengungkapkan adanya kelemahan keamanan sistemik di industri DeFi: tim yang didominasi oleh teknologi sering kali kekurangan "indera risiko keuangan" yang mendasar. Dari laporan Cetus, tampaknya tim tersebut belum merenungkan hal ini secara mendalam.
Untuk proyek DeFi, hanya memperhatikan kekurangan di tingkat teknis jauh dari cukup. Mereka perlu memecahkan batasan pemikiran teknis murni dan mengembangkan kesadaran keamanan "insinyur keuangan" yang sebenarnya. Langkah-langkah konkret dapat mencakup: melibatkan ahli manajemen risiko keuangan untuk menutupi kekosongan pengetahuan tim teknis; membangun mekanisme audit multi-pihak, tidak hanya fokus pada audit kode, tetapi juga memperhatikan audit model ekonomi; mengembangkan "indera keuangan", mensimulasikan berbagai skenario serangan dan merumuskan strategi respons, serta tetap waspada terhadap operasi yang mencurigakan.
Seiring dengan perkembangan industri, masalah teknis murni di tingkat kode mungkin akan berkurang seiring waktu, tetapi "kesadaran Bug" dari logika bisnis yang batasnya kabur dan tanggung jawab yang tidak jelas akan menjadi tantangan yang lebih besar. Perusahaan audit keamanan dapat menjamin bahwa kode tersebut benar, tetapi bagaimana memastikan bahwa "logika memiliki batas" memerlukan tim proyek untuk memiliki pemahaman dan kemampuan pengendalian yang lebih mendalam tentang esensi bisnis.
Di masa depan, pemimpin industri DeFi akan menjadi tim yang tidak hanya memiliki keahlian dalam teknologi kode, tetapi juga memiliki pemahaman mendalam tentang logika bisnis. Hanya dengan menggabungkan kekuatan teknologi dengan wawasan keuangan, kita dapat benar-benar berdiri di atas dalam bidang yang berkembang pesat ini.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
22 Suka
Hadiah
22
6
Posting ulang
Bagikan
Komentar
0/400
CoffeeNFTs
· 07-26 16:01
Apa ini masih dicuci? Ahli melempar kesalahan.
Lihat AsliBalas0
BearMarketBuilder
· 07-24 19:10
Panci ini sedikit terlalu kaku.
Lihat AsliBalas0
RektButSmiling
· 07-24 19:06
Lagipula, tertimpa panci juga adalah sial.
Lihat AsliBalas0
TokenomicsTinfoilHat
· 07-24 19:02
Esai kecilnya ditulis dengan baik, melemparkan tanggung jawab dengan sangat baik.
Lihat AsliBalas0
hodl_therapist
· 07-24 18:58
Alasan buruk, siapa yang tidak bisa menyalahkan orang lain
Kaji Ulang Insiden Serangan Cetus: Proyek DeFi Perlu Mengatasi Batasan Pemikiran Teknologi Murni
Cetus Protocol baru-baru ini merilis laporan ulasan keamanan serangan Hacker, yang memicu perhatian luas di industri. Meskipun laporan tersebut menunjukkan keunggulan dalam rincian teknis dan respons darurat, namun saat menjelaskan akar serangan, tampaknya ada beberapa keberatan.
Laporan ini secara khusus membahas kesalahan pemeriksaan pada fungsi checked_shlw dalam pustaka integer-mate, yang dikualifikasikan sebagai "kesalahpahaman semantik". Pernyataan ini meskipun secara teknis tidak salah, tampaknya sengaja mengalihkan tanggung jawab kepada faktor eksternal.
Namun, setelah menganalisis jalur serangan dengan cermat, ditemukan bahwa Hacker dapat berhasil melaksanakan serangan hanya jika beberapa kondisi terpenuhi secara bersamaan: pemeriksaan overflow yang salah, operasi pergeseran yang besar, aturan pembulatan ke atas, dan kurangnya verifikasi kelayakan ekonomi. Yang mengejutkan, Cetus mengabaikan pada setiap tahap kunci.
Kejadian ini mengungkapkan bahwa tim Cetus memiliki masalah serius dalam beberapa aspek:
Pertama, mereka tidak melakukan pengujian keamanan yang memadai saat menggunakan pustaka eksternal. Meskipun pustaka integer-mate memiliki sifat sumber terbuka dan aplikasi yang luas, tim tidak memahami batasan keamanan pustaka tersebut secara mendalam saat mengelola aset sebesar itu, dan juga tidak mengembangkan rencana cadangan yang tepat. Ini mencerminkan kurangnya kesadaran dasar tim tentang keamanan rantai pasokan.
Kedua, sistem memungkinkan input angka astronomi yang tidak masuk akal tanpa menetapkan batasan yang sesuai. Meskipun protokol DeFi mengejar desentralisasi, sistem keuangan yang matang tetap memerlukan batasan yang jelas. Mengizinkan input nilai yang begitu berlebihan menunjukkan bahwa tim kekurangan orang-orang yang memiliki intuisi keuangan dalam manajemen risiko.
Akhirnya, meskipun telah melalui beberapa putaran audit keamanan, masalah tersebut tetap tidak terdeteksi sebelumnya. Ini mencerminkan ketergantungan berlebihan proyek pada audit keamanan eksternal, yang dianggap sebagai perlindungan dari tanggung jawab. Namun, melintasi batasan matematika, kriptografi, dan ekonomi untuk melakukan verifikasi justru merupakan titik buta terbesar dalam keamanan DeFi modern.
Peristiwa ini mengungkapkan adanya kelemahan keamanan sistemik di industri DeFi: tim yang didominasi oleh teknologi sering kali kekurangan "indera risiko keuangan" yang mendasar. Dari laporan Cetus, tampaknya tim tersebut belum merenungkan hal ini secara mendalam.
Untuk proyek DeFi, hanya memperhatikan kekurangan di tingkat teknis jauh dari cukup. Mereka perlu memecahkan batasan pemikiran teknis murni dan mengembangkan kesadaran keamanan "insinyur keuangan" yang sebenarnya. Langkah-langkah konkret dapat mencakup: melibatkan ahli manajemen risiko keuangan untuk menutupi kekosongan pengetahuan tim teknis; membangun mekanisme audit multi-pihak, tidak hanya fokus pada audit kode, tetapi juga memperhatikan audit model ekonomi; mengembangkan "indera keuangan", mensimulasikan berbagai skenario serangan dan merumuskan strategi respons, serta tetap waspada terhadap operasi yang mencurigakan.
Seiring dengan perkembangan industri, masalah teknis murni di tingkat kode mungkin akan berkurang seiring waktu, tetapi "kesadaran Bug" dari logika bisnis yang batasnya kabur dan tanggung jawab yang tidak jelas akan menjadi tantangan yang lebih besar. Perusahaan audit keamanan dapat menjamin bahwa kode tersebut benar, tetapi bagaimana memastikan bahwa "logika memiliki batas" memerlukan tim proyek untuk memiliki pemahaman dan kemampuan pengendalian yang lebih mendalam tentang esensi bisnis.
Di masa depan, pemimpin industri DeFi akan menjadi tim yang tidak hanya memiliki keahlian dalam teknologi kode, tetapi juga memiliki pemahaman mendalam tentang logika bisnis. Hanya dengan menggabungkan kekuatan teknologi dengan wawasan keuangan, kita dapat benar-benar berdiri di atas dalam bidang yang berkembang pesat ini.