Протокол Cetus нещодавно опублікував звіт про безпеку після хакерської атаки, що викликало широке піклування в галузі. Хоча звіт демонструє відмінні результати в технічних деталях та реагуванні на надзвичайні ситуації, він виявляється обережним у поясненні причин атаки.
Звіт в основному обговорює помилку перевірки функції checked_shlw у бібліотеці integer-mate, кваліфікуючи її як "семантичне непорозуміння". Це твердження, хоча технічно правильне, здається, навмисно перекладає відповідальність на зовнішні чинники.
Однак, ретельно проаналізувавши шлях атаки, виявлено, що для успішного здійснення атаки Хакер повинен одночасно виконати кілька умов: неправильна перевірка переповнення, значні зсуви, правила округлення вгору та відсутність перевірки економічної доцільності. Дивно, але Cetus допустив недогляд на кожному з ключових етапів.
Ця подія виявила серйозні проблеми команди Cetus у кількох аспектах:
По-перше, вони не провели достатнього тестування безпеки при використанні зовнішніх бібліотек. Незважаючи на те, що бібліотека integer-mate має відкритий код і широко використовується, команда не заглибилася в безпекові межі цієї бібліотеки при управлінні такими величезними активами і не розробила відповідних альтернатив. Це свідчить про те, що команда не має базового усвідомлення безпеки постачальницького ланцюга.
По-друге, система дозволяє вводити нерозумні астрономічні цифри без встановлення відповідних меж. Хоча DeFi-протоколи прагнуть до децентралізації, зрілі фінансові системи все ж потребують чітких обмежень. Дозволяючи вводити такі перебільшені значення, команда демонструє відсутність фахівців з управління ризиками, які мають фінансову інтуїцію.
Нарешті, навіть після кількох раундів безпеки, проблеми не були виявлені заздалегідь. Це свідчить про те, що розробники проекту надмірно покладаються на зовнішні аудити безпеки, вважаючи їх гарантією звільнення від відповідальності. Однак перевірка, яка переходить межі математики, криптографії та економіки, є найбільшою сліпою зоною сучасної безпеки DeFi.
Ця подія виявила системні слабкості безпечності у сфері DeFi: команди, що керуються технологіями, часто не мають базового "фінансового чуття". Судячи з доповіді Cetus, команда, здається, не провела глибокого аналізу цього.
Для проектів DeFi недостатньо просто звертати увагу на технічні недоліки. Їм потрібно подолати обмеження чисто технічного мислення та розвивати справжню свідомість "фінансових інженерів" щодо безпеки. Конкретні заходи можуть включати: залучення експертів з фінансового ризику для заповнення знань технічної команди; створення багатостороннього механізму аудиту, який не лише зосереджується на аудиті коду, але й надає значення аудиту економічних моделей; розвиток "фінансового нюху", моделювання різних сценаріїв атак та розробка стратегій реагування, а також підтримка високої пильності щодо аномальних операцій.
З розвитком галузі чисто технічні проблеми на рівні коду можуть поступово зменшитися, але розмиті межі та неясні обов'язки в бізнес-логіці "усвідомлення Bug" стануть більшою проблемою. Компанії з аудиту безпеки можуть гарантувати правильність коду, але як забезпечити "логіку з межами" вимагатиме від команди проекту більш глибокого розуміння та контролю над сутністю бізнесу.
У майбутньому лідерами у сфері DeFi стануть ті команди, які не лише володіють відмінними кодовими технологіями, але й мають глибоке розуміння бізнес-логіки. Лише поєднуючи технічну майстерність з фінансовою інсайдерською інформацією, можна справді залишатися на плаву у цій швидко розвиваючійся сфері.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
22 лайків
Нагородити
22
6
Репост
Поділіться
Прокоментувати
0/400
CoffeeNFTs
· 07-26 16:01
Це ще мити? Майстер перекладання провини
Переглянути оригіналвідповісти на0
BearMarketBuilder
· 07-24 19:10
Ця сковорода трохи жорстка.
Переглянути оригіналвідповісти на0
RektButSmiling
· 07-24 19:06
Все одно, потрапити під кухонний посуд - це просто невезіння.
Переглянути оригіналвідповісти на0
TokenomicsTinfoilHat
· 07-24 19:02
Маленький твір написаний добре, перекидання провини на рівні.
Переглянути оригіналвідповісти на0
hodl_therapist
· 07-24 18:58
Гнили винятки, хто не вміє звалювати провину?
Переглянути оригіналвідповісти на0
TokenVelocityTrauma
· 07-24 18:54
Зайдіть, щоб подивитися на гравця, який скидає відповідальність.
Огляд інциденту з атакою на Cetus: проектам Децентралізовані фінанси терміново потрібно подолати обмеження чисто технічного мислення
Протокол Cetus нещодавно опублікував звіт про безпеку після хакерської атаки, що викликало широке піклування в галузі. Хоча звіт демонструє відмінні результати в технічних деталях та реагуванні на надзвичайні ситуації, він виявляється обережним у поясненні причин атаки.
Звіт в основному обговорює помилку перевірки функції checked_shlw у бібліотеці integer-mate, кваліфікуючи її як "семантичне непорозуміння". Це твердження, хоча технічно правильне, здається, навмисно перекладає відповідальність на зовнішні чинники.
Однак, ретельно проаналізувавши шлях атаки, виявлено, що для успішного здійснення атаки Хакер повинен одночасно виконати кілька умов: неправильна перевірка переповнення, значні зсуви, правила округлення вгору та відсутність перевірки економічної доцільності. Дивно, але Cetus допустив недогляд на кожному з ключових етапів.
Ця подія виявила серйозні проблеми команди Cetus у кількох аспектах:
По-перше, вони не провели достатнього тестування безпеки при використанні зовнішніх бібліотек. Незважаючи на те, що бібліотека integer-mate має відкритий код і широко використовується, команда не заглибилася в безпекові межі цієї бібліотеки при управлінні такими величезними активами і не розробила відповідних альтернатив. Це свідчить про те, що команда не має базового усвідомлення безпеки постачальницького ланцюга.
По-друге, система дозволяє вводити нерозумні астрономічні цифри без встановлення відповідних меж. Хоча DeFi-протоколи прагнуть до децентралізації, зрілі фінансові системи все ж потребують чітких обмежень. Дозволяючи вводити такі перебільшені значення, команда демонструє відсутність фахівців з управління ризиками, які мають фінансову інтуїцію.
Нарешті, навіть після кількох раундів безпеки, проблеми не були виявлені заздалегідь. Це свідчить про те, що розробники проекту надмірно покладаються на зовнішні аудити безпеки, вважаючи їх гарантією звільнення від відповідальності. Однак перевірка, яка переходить межі математики, криптографії та економіки, є найбільшою сліпою зоною сучасної безпеки DeFi.
Ця подія виявила системні слабкості безпечності у сфері DeFi: команди, що керуються технологіями, часто не мають базового "фінансового чуття". Судячи з доповіді Cetus, команда, здається, не провела глибокого аналізу цього.
Для проектів DeFi недостатньо просто звертати увагу на технічні недоліки. Їм потрібно подолати обмеження чисто технічного мислення та розвивати справжню свідомість "фінансових інженерів" щодо безпеки. Конкретні заходи можуть включати: залучення експертів з фінансового ризику для заповнення знань технічної команди; створення багатостороннього механізму аудиту, який не лише зосереджується на аудиті коду, але й надає значення аудиту економічних моделей; розвиток "фінансового нюху", моделювання різних сценаріїв атак та розробка стратегій реагування, а також підтримка високої пильності щодо аномальних операцій.
З розвитком галузі чисто технічні проблеми на рівні коду можуть поступово зменшитися, але розмиті межі та неясні обов'язки в бізнес-логіці "усвідомлення Bug" стануть більшою проблемою. Компанії з аудиту безпеки можуть гарантувати правильність коду, але як забезпечити "логіку з межами" вимагатиме від команди проекту більш глибокого розуміння та контролю над сутністю бізнесу.
У майбутньому лідерами у сфері DeFi стануть ті команди, які не лише володіють відмінними кодовими технологіями, але й мають глибоке розуміння бізнес-логіки. Лише поєднуючи технічну майстерність з фінансовою інсайдерською інформацією, можна справді залишатися на плаву у цій швидко розвиваючійся сфері.