Cetus Protocol yakın zamanda bir Hacker saldırısı güvenlik değerlendirme raporu yayınladı ve bu sektör genelinde geniş bir takip etme yarattı. Rapor teknik detaylar ve acil durum yanıtı açısından mükemmel olsa da, saldırının kökenlerini açıklama konusunda biraz temkinli görünüyor.
Rapor, integer-mate kütüphanesindeki checked_shlw fonksiyonunun hata kontrolünü "anlamsal yanlış anlama" olarak nitelendiriyor. Bu ifade teknik olarak doğru olsa da, sorumluluğun dış faktörlere kaydırılmaya çalışıldığı izlenimini veriyor.
Ancak, saldırı yolunu dikkatlice analiz ettikten sonra, Hacker'ın saldırıyı başarılı bir şekilde gerçekleştirebilmesi için birden fazla koşulu aynı anda sağlaması gerektiği bulunmuştur: hatalı taşma kontrolü, büyük kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik makullük doğrulamasının eksikliği. Şaşırtıcı bir şekilde, Cetus her bir kritik aşamada dikkatsizlik göstermiştir.
Bu olay, Cetus ekibinin birkaç alanda ciddi sorunlar yaşadığını ortaya koydu:
Öncelikle, harici kütüphaneleri kullanırken yeterli güvenlik testi yapmadılar. integer-mate kütüphanesi açık kaynak ve yaygın kullanım özelliklerine sahip olmasına rağmen, bu kadar büyük bir varlığı yönetirken, ekip bu kütüphanenin güvenlik sınırlarını derinlemesine anlamadı ve uygun bir alternatif plan da oluşturmadı. Bu, ekibin temel tedarik zinciri güvenliği bilincinden yoksun olduğunu göstermektedir.
İkincisi, sistemin makul sınırlar olmadan mantıksız astronomik sayılar girmesine izin vermesi. DeFi protokolleri merkeziyetsizlik peşinde koşsa da, olgun finansal sistemlerin yine de açık sınırlara ihtiyacı vardır. Bu kadar abartılı değerlerin girilmesine izin verilmesi, ekibin finansal sezgiye sahip risk yönetimi uzmanlarından yoksun olduğunu gösteriyor.
Son olarak, birden fazla güvenlik denetiminden geçilmesine rağmen sorunlar zamanında tespit edilememiştir. Bu, projenin dış güvenlik denetimlerine aşırı bağımlılığını gösteriyor ve bunları bir tür sorumluluktan muafiyet olarak görüyor. Ancak, matematik, kriptografi ve ekonomi arasındaki sınırları aşarak doğrulama, modern DeFi güvenliğinin en büyük kör noktasıdır.
Bu olay, DeFi sektöründe var olan sistematik güvenlik açıklarını ortaya koydu: Teknoloji odaklı ekipler genellikle temel "finansal risk algısı"na sahip değildir. Cetus'un raporuna göre, ekip bu durumu derinlemesine sorgulamıyor gibi görünüyor.
DeFi projeleri için yalnızca teknik düzeydeki eksikliklere dikkat etmek yeterli değildir. Gerçek "finans mühendisleri" güvenlik bilincini geliştirmek için saf teknik düşüncenin sınırlamalarını aşmaları gerekmektedir. Spesifik önlemler arasında şunlar yer alabilir: teknik ekibin bilgi boşluklarını kapatmak için finansal risk kontrol uzmanlarının dahil edilmesi; yalnızca kod denetimine değil, aynı zamanda ekonomik model denetimine de önem veren çok taraflı denetim mekanizmalarının oluşturulması; çeşitli saldırı senaryolarını simüle ederek ve tepki stratejileri geliştirerek "finans algısının" geliştirilmesi ve anormal işlemlere karşı yüksek düzeyde bir dikkat gösterilmesi.
Sektörün gelişimiyle birlikte, saf kod düzeyindeki teknik sorunlar giderek azalabilir, ancak sınırların belirsiz olduğu ve sorumlulukların net olmadığı iş mantığı "bilinç Hatası" daha büyük bir zorluk haline gelecektir. Güvenlik denetim şirketleri kodun hatasız olduğunu garanti edebilir, ancak "mantığın sınırlarının olduğunu" sağlamak için proje ekibinin işin doğası hakkında daha derin bir anlayışa ve kontrol yeteneğine sahip olması gerekmektedir.
Gelecekte, DeFi sektörünün liderleri yalnızca kod teknolojisinde sağlam olan değil, aynı zamanda iş mantığını derinlemesine anlayan ekipler olacaktır. Sadece teknik yeterliliği finansal sezgiyle birleştirerek, bu hızlı gelişen alanda gerçekten yenilmez bir konumda olunabilir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
22 Likes
Reward
22
6
Repost
Share
Comment
0/400
CoffeeNFTs
· 07-26 16:01
Bununla mı yıkanıyorsun? Suçu başkasına atma ustası.
View OriginalReply0
BearMarketBuilder
· 07-24 19:10
Bu tavayı biraz sert çevirdim.
View OriginalReply0
RektButSmiling
· 07-24 19:06
Sonuçta tencereye yakalanmak da şanssızlıktan.
View OriginalReply0
TokenomicsTinfoilHat
· 07-24 19:02
Küçük kompozisyon oldukça iyi yazılmış, suçlama konusunda birinci sınıf.
View OriginalReply0
hodl_therapist
· 07-24 18:58
Kötü bahaneler, suçu başkasına atmak kimseye zor değil.
View OriginalReply0
TokenVelocityTrauma
· 07-24 18:54
Suçlamaları başkalarına atan oyuncular buraya gelsin.
Cetus saldırı olayı analizi: Merkezi Olmayan Finans projelerinin saf teknik düşünce kısıtlamalarını aşması gerekiyor
Cetus Protocol yakın zamanda bir Hacker saldırısı güvenlik değerlendirme raporu yayınladı ve bu sektör genelinde geniş bir takip etme yarattı. Rapor teknik detaylar ve acil durum yanıtı açısından mükemmel olsa da, saldırının kökenlerini açıklama konusunda biraz temkinli görünüyor.
Rapor, integer-mate kütüphanesindeki checked_shlw fonksiyonunun hata kontrolünü "anlamsal yanlış anlama" olarak nitelendiriyor. Bu ifade teknik olarak doğru olsa da, sorumluluğun dış faktörlere kaydırılmaya çalışıldığı izlenimini veriyor.
Ancak, saldırı yolunu dikkatlice analiz ettikten sonra, Hacker'ın saldırıyı başarılı bir şekilde gerçekleştirebilmesi için birden fazla koşulu aynı anda sağlaması gerektiği bulunmuştur: hatalı taşma kontrolü, büyük kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik makullük doğrulamasının eksikliği. Şaşırtıcı bir şekilde, Cetus her bir kritik aşamada dikkatsizlik göstermiştir.
Bu olay, Cetus ekibinin birkaç alanda ciddi sorunlar yaşadığını ortaya koydu:
Öncelikle, harici kütüphaneleri kullanırken yeterli güvenlik testi yapmadılar. integer-mate kütüphanesi açık kaynak ve yaygın kullanım özelliklerine sahip olmasına rağmen, bu kadar büyük bir varlığı yönetirken, ekip bu kütüphanenin güvenlik sınırlarını derinlemesine anlamadı ve uygun bir alternatif plan da oluşturmadı. Bu, ekibin temel tedarik zinciri güvenliği bilincinden yoksun olduğunu göstermektedir.
İkincisi, sistemin makul sınırlar olmadan mantıksız astronomik sayılar girmesine izin vermesi. DeFi protokolleri merkeziyetsizlik peşinde koşsa da, olgun finansal sistemlerin yine de açık sınırlara ihtiyacı vardır. Bu kadar abartılı değerlerin girilmesine izin verilmesi, ekibin finansal sezgiye sahip risk yönetimi uzmanlarından yoksun olduğunu gösteriyor.
Son olarak, birden fazla güvenlik denetiminden geçilmesine rağmen sorunlar zamanında tespit edilememiştir. Bu, projenin dış güvenlik denetimlerine aşırı bağımlılığını gösteriyor ve bunları bir tür sorumluluktan muafiyet olarak görüyor. Ancak, matematik, kriptografi ve ekonomi arasındaki sınırları aşarak doğrulama, modern DeFi güvenliğinin en büyük kör noktasıdır.
Bu olay, DeFi sektöründe var olan sistematik güvenlik açıklarını ortaya koydu: Teknoloji odaklı ekipler genellikle temel "finansal risk algısı"na sahip değildir. Cetus'un raporuna göre, ekip bu durumu derinlemesine sorgulamıyor gibi görünüyor.
DeFi projeleri için yalnızca teknik düzeydeki eksikliklere dikkat etmek yeterli değildir. Gerçek "finans mühendisleri" güvenlik bilincini geliştirmek için saf teknik düşüncenin sınırlamalarını aşmaları gerekmektedir. Spesifik önlemler arasında şunlar yer alabilir: teknik ekibin bilgi boşluklarını kapatmak için finansal risk kontrol uzmanlarının dahil edilmesi; yalnızca kod denetimine değil, aynı zamanda ekonomik model denetimine de önem veren çok taraflı denetim mekanizmalarının oluşturulması; çeşitli saldırı senaryolarını simüle ederek ve tepki stratejileri geliştirerek "finans algısının" geliştirilmesi ve anormal işlemlere karşı yüksek düzeyde bir dikkat gösterilmesi.
Sektörün gelişimiyle birlikte, saf kod düzeyindeki teknik sorunlar giderek azalabilir, ancak sınırların belirsiz olduğu ve sorumlulukların net olmadığı iş mantığı "bilinç Hatası" daha büyük bir zorluk haline gelecektir. Güvenlik denetim şirketleri kodun hatasız olduğunu garanti edebilir, ancak "mantığın sınırlarının olduğunu" sağlamak için proje ekibinin işin doğası hakkında daha derin bir anlayışa ve kontrol yeteneğine sahip olması gerekmektedir.
Gelecekte, DeFi sektörünün liderleri yalnızca kod teknolojisinde sağlam olan değil, aynı zamanda iş mantığını derinlemesine anlayan ekipler olacaktır. Sadece teknik yeterliliği finansal sezgiyle birleştirerek, bu hızlı gelişen alanda gerçekten yenilmez bir konumda olunabilir.