Cetus Protocol недавно опубликовал отчет о безопасности после хакерской атаки, что вызвало широкий интерес в отрасли. Хотя отчет отлично справляется с техническими деталями и экстренными мерами, он оказывается несколько сдержанным в объяснении причин атаки.
Доклад в основном обсуждает ошибки проверки функции checked_shlw в библиотеке integer-mate, квалифицируя их как "семантическое недопонимание". Хотя это утверждение технически верно, оно, похоже, намеренно пытается переложить ответственность на внешние факторы.
Однако, после тщательного анализа путей атаки было обнаружено, что для успешного осуществления атаки Хакер необходимо одновременно выполнить несколько условий: неправильная проверка переполнения, значительные побитовые сдвиги, правила округления вверх и отсутствие проверки экономической обоснованности. Удивительно, но Cetus проявил небрежность на каждом ключевом этапе.
Это событие выявило серьезные проблемы в команде Cetus в нескольких аспектах:
Во-первых, они не провели достаточного тестирования безопасности при использовании внешних библиотек. Несмотря на то, что библиотека integer-mate обладает открытым исходным кодом и широко используется, команда не углубилась в понимание безопасных границ этой библиотеки при управлении столь огромными активами и не разработала соответствующий запасной план. Это отражает отсутствие у команды базового понимания безопасности цепочки поставок.
Во-вторых, система позволяет вводить нецелесообразные астрономические числа без установки соответствующих границ. Хотя DeFi-протоколы стремятся к децентрализации, зрелые финансовые системы все же требуют четких ограничений. Позволяя вводить такие преувеличенные значения, команда демонстрирует нехватку специалистов по управлению рисками с финансовым чутьем.
В конечном итоге, даже после нескольких раундов аудита безопасности, проблемы так и не были выявлены заранее. Это отражает чрезмерную зависимость команды проекта от внешнего аудита безопасности, рассматривая его как гарантию от ответственности. Однако именно проверка на границе математики, криптографии и экономики является самым большим слепым пятном современной безопасности DeFi.
Это событие выявило системные уязвимости безопасности в индустрии DeFi: команды, ориентированные на технологии, зачастую испытывают нехватку базового "финансового риска". Судя по отчету Cetus, команда, похоже, не провела глубокого анализа этого.
Для проектов DeFi недостаточно просто следовать за недостатками на техническом уровне. Им необходимо преодолеть ограничения чисто технического мышления и развивать настоящую безопасность "финансовых инженеров". Конкретные меры могут включать: привлечение специалистов по финансовому риску для заполнения пробелов в знаниях технической команды; создание многостороннего механизма аудита, который будет сосредоточен не только на аудите кода, но и на аудите экономических моделей; развитие "финансового чутья", моделирование различных сценариев атак и разработка стратегий реагирования, поддержание высокой бдительности к аномальным операциям.
С развитием отрасли чисто технические проблемы на уровне кода могут постепенно уменьшаться, но неясные границы и неопределенные обязанности в бизнес-логике "осознанные ошибки" станут большей проблемой. Компании по безопасности могут гарантировать отсутствие ошибок в коде, но как обеспечить "границы логики" требует от проектной команды более глубокого понимания и контроля за сущностью бизнеса.
В будущем лидерами отрасли DeFi станут те команды, которые не только обладают высокими навыками в кодировании, но и имеют глубокое понимание бизнес-логики. Только сочетая техническую мощь с финансовым проницательностью, можно действительно оставаться на плаву в этой быстро развивающейся области.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
22 Лайков
Награда
22
6
Репост
Поделиться
комментарий
0/400
CoffeeNFTs
· 07-26 16:01
Да это еще и отмывается? Мастер сбрасывания ответственности.
Анализ инцидента с атакой на Cetus: проектам Децентрализованные финансы необходимо преодолеть ограничения чисто технического мышления
Cetus Protocol недавно опубликовал отчет о безопасности после хакерской атаки, что вызвало широкий интерес в отрасли. Хотя отчет отлично справляется с техническими деталями и экстренными мерами, он оказывается несколько сдержанным в объяснении причин атаки.
Доклад в основном обсуждает ошибки проверки функции checked_shlw в библиотеке integer-mate, квалифицируя их как "семантическое недопонимание". Хотя это утверждение технически верно, оно, похоже, намеренно пытается переложить ответственность на внешние факторы.
Однако, после тщательного анализа путей атаки было обнаружено, что для успешного осуществления атаки Хакер необходимо одновременно выполнить несколько условий: неправильная проверка переполнения, значительные побитовые сдвиги, правила округления вверх и отсутствие проверки экономической обоснованности. Удивительно, но Cetus проявил небрежность на каждом ключевом этапе.
Это событие выявило серьезные проблемы в команде Cetus в нескольких аспектах:
Во-первых, они не провели достаточного тестирования безопасности при использовании внешних библиотек. Несмотря на то, что библиотека integer-mate обладает открытым исходным кодом и широко используется, команда не углубилась в понимание безопасных границ этой библиотеки при управлении столь огромными активами и не разработала соответствующий запасной план. Это отражает отсутствие у команды базового понимания безопасности цепочки поставок.
Во-вторых, система позволяет вводить нецелесообразные астрономические числа без установки соответствующих границ. Хотя DeFi-протоколы стремятся к децентрализации, зрелые финансовые системы все же требуют четких ограничений. Позволяя вводить такие преувеличенные значения, команда демонстрирует нехватку специалистов по управлению рисками с финансовым чутьем.
В конечном итоге, даже после нескольких раундов аудита безопасности, проблемы так и не были выявлены заранее. Это отражает чрезмерную зависимость команды проекта от внешнего аудита безопасности, рассматривая его как гарантию от ответственности. Однако именно проверка на границе математики, криптографии и экономики является самым большим слепым пятном современной безопасности DeFi.
Это событие выявило системные уязвимости безопасности в индустрии DeFi: команды, ориентированные на технологии, зачастую испытывают нехватку базового "финансового риска". Судя по отчету Cetus, команда, похоже, не провела глубокого анализа этого.
Для проектов DeFi недостаточно просто следовать за недостатками на техническом уровне. Им необходимо преодолеть ограничения чисто технического мышления и развивать настоящую безопасность "финансовых инженеров". Конкретные меры могут включать: привлечение специалистов по финансовому риску для заполнения пробелов в знаниях технической команды; создание многостороннего механизма аудита, который будет сосредоточен не только на аудите кода, но и на аудите экономических моделей; развитие "финансового чутья", моделирование различных сценариев атак и разработка стратегий реагирования, поддержание высокой бдительности к аномальным операциям.
С развитием отрасли чисто технические проблемы на уровне кода могут постепенно уменьшаться, но неясные границы и неопределенные обязанности в бизнес-логике "осознанные ошибки" станут большей проблемой. Компании по безопасности могут гарантировать отсутствие ошибок в коде, но как обеспечить "границы логики" требует от проектной команды более глубокого понимания и контроля за сущностью бизнеса.
В будущем лидерами отрасли DeFi станут те команды, которые не только обладают высокими навыками в кодировании, но и имеют глубокое понимание бизнес-логики. Только сочетая техническую мощь с финансовым проницательностью, можно действительно оставаться на плаву в этой быстро развивающейся области.