Revisão do incidente de ataque ao Cetus: projetos de Finanças Descentralizadas precisam urgentemente superar as limitações do pensamento puramente técnico.
O Cetus Protocol publicou recentemente um relatório de revisão de segurança sobre um ataque de Hacker, que gerou uma ampla atenção na indústria. Embora o relatório se destaque em detalhes técnicos e resposta de emergência, parece ser reservado ao explicar a origem do ataque.
O relatório discute principalmente o erro de verificação da função checked_shlw na biblioteca integer-mate, qualificando-o como "mal-entendido semântico". Embora essa afirmação seja tecnicamente correta, parece haver uma intenção de transferir a responsabilidade para fatores externos.
No entanto, após uma análise cuidadosa do caminho de ataque, descobriu-se que para os hackers conseguirem implementar com sucesso o ataque, é necessário que vários critérios sejam atendidos simultaneamente: verificação de estouro incorreta, operações de deslocamento significativo, regra de arredondamento para cima e falta de verificação de viabilidade econômica. É surpreendente que a Cetus tenha cometido negligências em cada um dos pontos críticos.
Este incidente expôs sérios problemas na equipe Cetus em vários aspectos:
Primeiro, eles não realizaram testes de segurança adequados ao utilizar bibliotecas externas. Embora a biblioteca integer-mate tenha características de código aberto e ampla aplicação, a equipe não compreendeu profundamente os limites de segurança dessa biblioteca ao gerenciar ativos tão grandes, nem elaborou alternativas adequadas. Isso reflete a falta de consciência básica sobre segurança da cadeia de suprimentos por parte da equipe.
Em segundo lugar, o sistema permite a entrada de números astronômicos irrealistas sem definir limites adequados. Embora os protocolos DeFi busquem a descentralização, os sistemas financeiros maduros ainda precisam de restrições claras. Permitir a entrada de valores tão exagerados indica que a equipe carece de profissionais de gestão de riscos com intuição financeira.
Por fim, mesmo após várias auditorias de segurança, não foi possível identificar problemas antecipadamente. Isso reflete a dependência excessiva da equipe do projeto em auditorias de segurança externas, vendo-as como uma forma de isenção de responsabilidade. No entanto, a validação que ultrapassa as fronteiras da matemática, criptografia e economia é precisamente a maior lacuna na segurança moderna do DeFi.
Este evento revelou a fragilidade sistemática de segurança existente na indústria DeFi: equipes dominadas pela tecnologia frequentemente carecem de um "apreço pelo risco financeiro" básico. De acordo com o relatório da Cetus, a equipe parece não ter refletido profundamente sobre isso.
Para projetos DeFi, focar apenas nas falhas técnicas é insuficiente. Eles precisam quebrar os limites do pensamento puramente técnico e cultivar a verdadeira consciência de "engenheiros financeiros" em termos de segurança. As medidas específicas podem incluir: introduzir especialistas em gestão de risco financeiro para preencher as lacunas de conhecimento da equipe técnica; estabelecer um mecanismo de auditoria multifacetado, que não se concentre apenas na auditoria de código, mas também valorize a auditoria de modelos econômicos; cultivar um "instinto financeiro", simular vários cenários de ataque e desenvolver estratégias de resposta, mantendo uma vigilância elevada sobre operações anormais.
Com o desenvolvimento da indústria, os problemas técnicos puramente ao nível do código podem diminuir gradualmente, mas os "Bugs de consciência" da lógica de negócios, com fronteiras difusas e responsabilidades pouco claras, representarão um desafio maior. As empresas de auditoria de segurança podem garantir que o código está correto, mas como garantir que a "lógica tenha limites" requer que a equipe do projeto tenha uma compreensão e capacidade de controle mais profundas sobre a essência do negócio.
No futuro, os líderes da indústria DeFi serão aqueles que não apenas têm habilidades técnicas sólidas em código, mas também uma compreensão profunda da lógica de negócios. Apenas combinando força técnica com perspicácia financeira é que se pode realmente se manter à frente neste campo em rápida evolução.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
22 gostos
Recompensa
22
6
Republicar
Partilhar
Comentar
0/400
CoffeeNFTs
· 07-26 16:01
E isso ainda é lavagem? Mestre em passar a responsabilidade.
Ver originalResponder0
BearMarketBuilder
· 07-24 19:10
Esta frigideira está um pouco rígida.
Ver originalResponder0
RektButSmiling
· 07-24 19:06
De qualquer forma, ser apanhado é apenas má sorte.
Ver originalResponder0
TokenomicsTinfoilHat
· 07-24 19:02
A redação está muito boa, a culpa é dos outros.
Ver originalResponder0
hodl_therapist
· 07-24 18:58
Desculpas esfarrapadas, quem não sabe passar a batata quente?
Revisão do incidente de ataque ao Cetus: projetos de Finanças Descentralizadas precisam urgentemente superar as limitações do pensamento puramente técnico.
O Cetus Protocol publicou recentemente um relatório de revisão de segurança sobre um ataque de Hacker, que gerou uma ampla atenção na indústria. Embora o relatório se destaque em detalhes técnicos e resposta de emergência, parece ser reservado ao explicar a origem do ataque.
O relatório discute principalmente o erro de verificação da função checked_shlw na biblioteca integer-mate, qualificando-o como "mal-entendido semântico". Embora essa afirmação seja tecnicamente correta, parece haver uma intenção de transferir a responsabilidade para fatores externos.
No entanto, após uma análise cuidadosa do caminho de ataque, descobriu-se que para os hackers conseguirem implementar com sucesso o ataque, é necessário que vários critérios sejam atendidos simultaneamente: verificação de estouro incorreta, operações de deslocamento significativo, regra de arredondamento para cima e falta de verificação de viabilidade econômica. É surpreendente que a Cetus tenha cometido negligências em cada um dos pontos críticos.
Este incidente expôs sérios problemas na equipe Cetus em vários aspectos:
Primeiro, eles não realizaram testes de segurança adequados ao utilizar bibliotecas externas. Embora a biblioteca integer-mate tenha características de código aberto e ampla aplicação, a equipe não compreendeu profundamente os limites de segurança dessa biblioteca ao gerenciar ativos tão grandes, nem elaborou alternativas adequadas. Isso reflete a falta de consciência básica sobre segurança da cadeia de suprimentos por parte da equipe.
Em segundo lugar, o sistema permite a entrada de números astronômicos irrealistas sem definir limites adequados. Embora os protocolos DeFi busquem a descentralização, os sistemas financeiros maduros ainda precisam de restrições claras. Permitir a entrada de valores tão exagerados indica que a equipe carece de profissionais de gestão de riscos com intuição financeira.
Por fim, mesmo após várias auditorias de segurança, não foi possível identificar problemas antecipadamente. Isso reflete a dependência excessiva da equipe do projeto em auditorias de segurança externas, vendo-as como uma forma de isenção de responsabilidade. No entanto, a validação que ultrapassa as fronteiras da matemática, criptografia e economia é precisamente a maior lacuna na segurança moderna do DeFi.
Este evento revelou a fragilidade sistemática de segurança existente na indústria DeFi: equipes dominadas pela tecnologia frequentemente carecem de um "apreço pelo risco financeiro" básico. De acordo com o relatório da Cetus, a equipe parece não ter refletido profundamente sobre isso.
Para projetos DeFi, focar apenas nas falhas técnicas é insuficiente. Eles precisam quebrar os limites do pensamento puramente técnico e cultivar a verdadeira consciência de "engenheiros financeiros" em termos de segurança. As medidas específicas podem incluir: introduzir especialistas em gestão de risco financeiro para preencher as lacunas de conhecimento da equipe técnica; estabelecer um mecanismo de auditoria multifacetado, que não se concentre apenas na auditoria de código, mas também valorize a auditoria de modelos econômicos; cultivar um "instinto financeiro", simular vários cenários de ataque e desenvolver estratégias de resposta, mantendo uma vigilância elevada sobre operações anormais.
Com o desenvolvimento da indústria, os problemas técnicos puramente ao nível do código podem diminuir gradualmente, mas os "Bugs de consciência" da lógica de negócios, com fronteiras difusas e responsabilidades pouco claras, representarão um desafio maior. As empresas de auditoria de segurança podem garantir que o código está correto, mas como garantir que a "lógica tenha limites" requer que a equipe do projeto tenha uma compreensão e capacidade de controle mais profundas sobre a essência do negócio.
No futuro, os líderes da indústria DeFi serão aqueles que não apenas têm habilidades técnicas sólidas em código, mas também uma compreensão profunda da lógica de negócios. Apenas combinando força técnica com perspicácia financeira é que se pode realmente se manter à frente neste campo em rápida evolução.