Giao thức Cetus gần đây đã phát hành một báo cáo về an ninh tấn công của Hacker, gây ra sự theo dõi rộng rãi trong ngành. Mặc dù báo cáo thể hiện xuất sắc trong các chi tiết kỹ thuật và phản ứng khẩn cấp, nhưng lại có phần giữ lại khi giải thích nguồn gốc của cuộc tấn công.
Báo cáo tập trung thảo luận về lỗi kiểm tra trong hàm checked_shlw của thư viện integer-mate, coi đó là "hiểu sai về ngữ nghĩa". Mặc dù tuyên bố này về mặt kỹ thuật là chính xác, nhưng dường như có ý định chuyển trách nhiệm sang các yếu tố bên ngoài.
Tuy nhiên, sau khi phân tích kỹ lưỡng các con đường tấn công, phát hiện rằng Hacker có thể thực hiện thành công cuộc tấn công cần phải đáp ứng nhiều điều kiện đồng thời: kiểm tra tràn lỗi không chính xác, phép toán dịch trái lớn, quy tắc làm tròn lên và thiếu xác minh tính hợp lý về kinh tế. Thật ngạc nhiên, Cetus đã mắc phải sự lơ là ở mỗi khâu quan trọng.
Sự kiện lần này đã phơi bày ra những vấn đề nghiêm trọng của đội ngũ Cetus ở một số khía cạnh:
Đầu tiên, họ đã không thực hiện kiểm tra an ninh đầy đủ khi sử dụng thư viện bên ngoài. Mặc dù thư viện integer-mate có tính chất mã nguồn mở và được ứng dụng rộng rãi, nhưng khi quản lý một khối tài sản lớn như vậy, đội ngũ đã không hiểu sâu về ranh giới an ninh của thư viện này, cũng như không thiết lập được phương án thay thế phù hợp. Điều này phản ánh rằng đội ngũ thiếu nhận thức cơ bản về an ninh chuỗi cung ứng.
Thứ hai, hệ thống cho phép nhập những con số thiên văn không hợp lý mà không có ranh giới phù hợp. Mặc dù các giao thức DeFi theo đuổi sự phi tập trung, nhưng hệ thống tài chính trưởng thành vẫn cần có những giới hạn rõ ràng. Việc cho phép nhập những giá trị quá mức như vậy cho thấy đội ngũ thiếu những nhân tài quản lý rủi ro có trực giác tài chính.
Cuối cùng, ngay cả sau nhiều vòng kiểm toán an ninh, vẫn không thể phát hiện vấn đề trước. Điều này phản ánh việc dự án quá phụ thuộc vào kiểm toán an ninh bên ngoài, coi đó như một bảo đảm miễn trừ trách nhiệm. Tuy nhiên, việc xác minh vượt qua ranh giới của toán học, mật mã và kinh tế học chính là điểm mù lớn nhất trong an ninh DeFi hiện đại.
Sự kiện này đã làm lộ ra những điểm yếu an ninh hệ thống trong ngành DeFi: các đội ngũ được dẫn dắt bởi công nghệ thường thiếu "khả năng nhạy bén với rủi ro tài chính" cơ bản. Từ báo cáo của Cetus, có vẻ như đội ngũ này chưa thực sự suy ngẫm sâu sắc về điều này.
Đối với các dự án DeFi, chỉ tập trung vào các thiếu sót về mặt kỹ thuật là chưa đủ. Họ cần phải phá vỡ giới hạn của tư duy thuần túy kỹ thuật và phát triển nhận thức an toàn của những "kỹ sư tài chính" thực thụ. Các biện pháp cụ thể có thể bao gồm: mời các chuyên gia quản lý rủi ro tài chính, bù đắp cho những khoảng trống kiến thức của đội ngũ kỹ thuật; thiết lập cơ chế kiểm toán đa bên, không chỉ chú trọng vào kiểm toán mã mà còn phải coi trọng kiểm toán mô hình kinh tế; phát triển "khứu giác tài chính", mô phỏng các kịch bản tấn công khác nhau và xây dựng chiến lược ứng phó, luôn duy trì sự cảnh giác cao độ đối với các hành động bất thường.
Với sự phát triển của ngành, các vấn đề kỹ thuật thuần túy ở cấp độ mã có thể sẽ giảm dần, nhưng những lỗi "ý thức Bug" trong logic kinh doanh với ranh giới mờ nhạt và trách nhiệm không rõ ràng sẽ trở thành thách thức lớn hơn. Các công ty kiểm toán an ninh có thể đảm bảo mã là chính xác, nhưng cách để đảm bảo "logic có ranh giới" thì cần đội ngũ dự án có sự hiểu biết và khả năng kiểm soát sâu sắc hơn về bản chất kinh doanh.
Trong tương lai, những người lãnh đạo trong ngành DeFi sẽ là những đội ngũ không chỉ có kỹ thuật mã vững vàng mà còn có hiểu biết sâu sắc về logic kinh doanh. Chỉ có sự kết hợp giữa sức mạnh công nghệ và khả năng tài chính mới có thể thực sự đứng vững trong lĩnh vực phát triển nhanh chóng này.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
22 thích
Phần thưởng
22
6
Đăng lại
Chia sẻ
Bình luận
0/400
CoffeeNFTs
· 07-26 16:01
Thế này mà còn rửa à? Cao thủ đổ lỗi.
Xem bản gốcTrả lời0
BearMarketBuilder
· 07-24 19:10
Cái chảo này bị ném có chút cứng rồi.
Xem bản gốcTrả lời0
RektButSmiling
· 07-24 19:06
Dù sao bị nồi cũng là vận xui.
Xem bản gốcTrả lời0
TokenomicsTinfoilHat
· 07-24 19:02
Bài viết nhỏ viết rất tốt, đổ lỗi một cách xuất sắc.
Cetus tấn công sự kiện phục hồi: Các dự án Tài chính phi tập trung cần phải vượt qua giới hạn của tư duy chỉ kỹ thuật.
Giao thức Cetus gần đây đã phát hành một báo cáo về an ninh tấn công của Hacker, gây ra sự theo dõi rộng rãi trong ngành. Mặc dù báo cáo thể hiện xuất sắc trong các chi tiết kỹ thuật và phản ứng khẩn cấp, nhưng lại có phần giữ lại khi giải thích nguồn gốc của cuộc tấn công.
Báo cáo tập trung thảo luận về lỗi kiểm tra trong hàm checked_shlw của thư viện integer-mate, coi đó là "hiểu sai về ngữ nghĩa". Mặc dù tuyên bố này về mặt kỹ thuật là chính xác, nhưng dường như có ý định chuyển trách nhiệm sang các yếu tố bên ngoài.
Tuy nhiên, sau khi phân tích kỹ lưỡng các con đường tấn công, phát hiện rằng Hacker có thể thực hiện thành công cuộc tấn công cần phải đáp ứng nhiều điều kiện đồng thời: kiểm tra tràn lỗi không chính xác, phép toán dịch trái lớn, quy tắc làm tròn lên và thiếu xác minh tính hợp lý về kinh tế. Thật ngạc nhiên, Cetus đã mắc phải sự lơ là ở mỗi khâu quan trọng.
Sự kiện lần này đã phơi bày ra những vấn đề nghiêm trọng của đội ngũ Cetus ở một số khía cạnh:
Đầu tiên, họ đã không thực hiện kiểm tra an ninh đầy đủ khi sử dụng thư viện bên ngoài. Mặc dù thư viện integer-mate có tính chất mã nguồn mở và được ứng dụng rộng rãi, nhưng khi quản lý một khối tài sản lớn như vậy, đội ngũ đã không hiểu sâu về ranh giới an ninh của thư viện này, cũng như không thiết lập được phương án thay thế phù hợp. Điều này phản ánh rằng đội ngũ thiếu nhận thức cơ bản về an ninh chuỗi cung ứng.
Thứ hai, hệ thống cho phép nhập những con số thiên văn không hợp lý mà không có ranh giới phù hợp. Mặc dù các giao thức DeFi theo đuổi sự phi tập trung, nhưng hệ thống tài chính trưởng thành vẫn cần có những giới hạn rõ ràng. Việc cho phép nhập những giá trị quá mức như vậy cho thấy đội ngũ thiếu những nhân tài quản lý rủi ro có trực giác tài chính.
Cuối cùng, ngay cả sau nhiều vòng kiểm toán an ninh, vẫn không thể phát hiện vấn đề trước. Điều này phản ánh việc dự án quá phụ thuộc vào kiểm toán an ninh bên ngoài, coi đó như một bảo đảm miễn trừ trách nhiệm. Tuy nhiên, việc xác minh vượt qua ranh giới của toán học, mật mã và kinh tế học chính là điểm mù lớn nhất trong an ninh DeFi hiện đại.
Sự kiện này đã làm lộ ra những điểm yếu an ninh hệ thống trong ngành DeFi: các đội ngũ được dẫn dắt bởi công nghệ thường thiếu "khả năng nhạy bén với rủi ro tài chính" cơ bản. Từ báo cáo của Cetus, có vẻ như đội ngũ này chưa thực sự suy ngẫm sâu sắc về điều này.
Đối với các dự án DeFi, chỉ tập trung vào các thiếu sót về mặt kỹ thuật là chưa đủ. Họ cần phải phá vỡ giới hạn của tư duy thuần túy kỹ thuật và phát triển nhận thức an toàn của những "kỹ sư tài chính" thực thụ. Các biện pháp cụ thể có thể bao gồm: mời các chuyên gia quản lý rủi ro tài chính, bù đắp cho những khoảng trống kiến thức của đội ngũ kỹ thuật; thiết lập cơ chế kiểm toán đa bên, không chỉ chú trọng vào kiểm toán mã mà còn phải coi trọng kiểm toán mô hình kinh tế; phát triển "khứu giác tài chính", mô phỏng các kịch bản tấn công khác nhau và xây dựng chiến lược ứng phó, luôn duy trì sự cảnh giác cao độ đối với các hành động bất thường.
Với sự phát triển của ngành, các vấn đề kỹ thuật thuần túy ở cấp độ mã có thể sẽ giảm dần, nhưng những lỗi "ý thức Bug" trong logic kinh doanh với ranh giới mờ nhạt và trách nhiệm không rõ ràng sẽ trở thành thách thức lớn hơn. Các công ty kiểm toán an ninh có thể đảm bảo mã là chính xác, nhưng cách để đảm bảo "logic có ranh giới" thì cần đội ngũ dự án có sự hiểu biết và khả năng kiểm soát sâu sắc hơn về bản chất kinh doanh.
Trong tương lai, những người lãnh đạo trong ngành DeFi sẽ là những đội ngũ không chỉ có kỹ thuật mã vững vàng mà còn có hiểu biết sâu sắc về logic kinh doanh. Chỉ có sự kết hợp giữa sức mạnh công nghệ và khả năng tài chính mới có thể thực sự đứng vững trong lĩnh vực phát triển nhanh chóng này.