بروتوكول سيتوس نشر مؤخرًا تقريرًا أمنيًا حول حادثة اختراق. يقدم هذا التقرير معلومات مفصلة حول التفاصيل الفنية والاستجابة الطارئة، ويعتبر حالة من المستوى التعليمي. ومع ذلك، عند شرح الأسباب الجذرية للاختراق، يبدو أن التقرير يتردد.
تتناول التقرير بشكل رئيسي الأخطاء في وظيفة checked_shlw في مكتبة integer-mate، وتصنفها على أنها "سوء فهم دلالي". على الرغم من أن هذا الوصف يمكن أن يكون صحيحًا من الناحية الفنية، إلا أنه يبدو أنه يهدف إلى تحويل المسؤولية إلى عوامل خارجية، مما يوحي بأن Cetus هي أيضًا ضحية لهذه العيب الفني.
ومع ذلك، عند إجراء تحليل عميق، سيتضح أن نجاح هجمات الهاكر يتطلب تلبية عدة شروط رئيسية في نفس الوقت: فحص الفائض الخاطئ، عمليات الإزاحة الكبيرة، قواعد التقريب للأعلى، ونقص التحقق من الجدوى الاقتصادية. ومن المدهش أن Cetus قد ارتكبت إهمالًا في كل نقطة تحفيز، بما في ذلك قبول إدخالات المستخدم ذات الأرقام الكبيرة جدًا، واستخدام عمليات الإزاحة الكبيرة عالية المخاطر، والاعتماد المفرط على آليات الفحص من المكتبات الخارجية، والأهم من ذلك، عندما تحسب النظام نسبة تبادل غير معقولة بشكل واضح، لم يتم إجراء أي تحقق من الفهم الاقتصادي قبل تنفيذ العملية مباشرة.
يكشف هذا الحدث عن أوجه قصور فريق Cetus في عدة جوانب:
عدم وجود تقييم شامل لأمان المكتبات الخارجية. على الرغم من استخدام مكتبات مفتوحة المصدر الشهيرة، إلا أنه عند إدارة الأصول الضخمة، لم يتم فهم حدود أمان هذه المكتبة والمخاطر المحتملة بشكل كافٍ.
نقص القيود المدخلة المعقولة. على الرغم من أن اللامركزية هي الفكرة الأساسية لـ DeFi، إلا أن الأنظمة المالية الناضجة لا تزال بحاجة إلى تحديد حدود واضحة. السماح بإدخال أرقام فلكية غير تقليدية يعكس نقص حساسية الفريق تجاه إدارة المخاطر المالية.
الاعتماد المفرط على التدقيق الأمني. لم تتمكن جولات التدقيق الأمني المتعددة من اكتشاف المشكلات مسبقًا، مما يكشف عن ميل المشروع لتفويض المسؤولية الأمنية بشكل مفرط إلى شركات التدقيق. ومع ذلك، فإن التدقيق الأمني يركز بشكل رئيسي على ثغرات الشيفرة، مما يجعل من الصعب تغطية الحدود المعقدة التي تمتد عبر الرياضيات والتشفير والاقتصاد.
تسلط هذه الحالة الضوء على نقاط الضعف النظامية الشائعة في صناعة DeFi: الفرق التي تتمتع بخلفية تقنية بحتة غالبًا ما تفتقر إلى الوعي الكافي بمخاطر المالية. وفقًا لتقرير Cetus، يبدو أن الفريق لم يدرك ذلك بشكل كاف.
بالنسبة لـ Cetus وصناعة DeFi بأكملها ، فإن الأمر الملح هو تجاوز قيود التفكير التقني البحت وزرع الوعي الأمني بمخاطر "مهندسي المالية" الحقيقيين. يمكن أن تشمل التدابير المحددة: استقدام خبراء في إدارة المخاطر المالية لسد الفجوات المعرفية في الفريق التقني؛ إنشاء آلية مراجعة تدقيق متعددة الأطراف ، لا تركز فقط على تدقيق الشفرة ، ولكن أيضًا تعطي أهمية لتدقيق نماذج الاقتصاد؛ تطوير "حاسة مالية" ، ومحاكاة سيناريوهات الهجوم المختلفة ووضع تدابير استجابة مناسبة ، مع الحفاظ على يقظة عالية تجاه العمليات غير العادية.
مع تطور الصناعة المستمر، قد تتناقص الثغرات الفنية البحتة على مستوى الشيفرة تدريجياً، لكن "ثغرات الوعي" في المنطق التجاري ستصبح تحدياً أكبر. يمكن لشركات التدقيق التأكد من صحة الشيفرة، لكن كيفية ضمان "حدود المنطق" تتطلب من فريق المشروع فهمًا أعمق وقدرة على التحكم في جوهر العمل.
في المستقبل، سيكون قادة صناعة DeFi هم أولئك الذين ليس فقط يتمتعون بمهارات قوية في تقنيات البرمجة، ولكن أيضًا لديهم فهم عميق للمنطق التجاري. يتطلب ذلك دمج المعرفة من مجالات متعددة وزيادة مستمرة في الوعي بالأمان.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
استعراض حادثة هاكر Cetus: يحتاج قطاع التمويل اللامركزي إلى تعزيز الوعي بأمان الهندسة المالية
بروتوكول سيتوس نشر مؤخرًا تقريرًا أمنيًا حول حادثة اختراق. يقدم هذا التقرير معلومات مفصلة حول التفاصيل الفنية والاستجابة الطارئة، ويعتبر حالة من المستوى التعليمي. ومع ذلك، عند شرح الأسباب الجذرية للاختراق، يبدو أن التقرير يتردد.
تتناول التقرير بشكل رئيسي الأخطاء في وظيفة checked_shlw في مكتبة integer-mate، وتصنفها على أنها "سوء فهم دلالي". على الرغم من أن هذا الوصف يمكن أن يكون صحيحًا من الناحية الفنية، إلا أنه يبدو أنه يهدف إلى تحويل المسؤولية إلى عوامل خارجية، مما يوحي بأن Cetus هي أيضًا ضحية لهذه العيب الفني.
ومع ذلك، عند إجراء تحليل عميق، سيتضح أن نجاح هجمات الهاكر يتطلب تلبية عدة شروط رئيسية في نفس الوقت: فحص الفائض الخاطئ، عمليات الإزاحة الكبيرة، قواعد التقريب للأعلى، ونقص التحقق من الجدوى الاقتصادية. ومن المدهش أن Cetus قد ارتكبت إهمالًا في كل نقطة تحفيز، بما في ذلك قبول إدخالات المستخدم ذات الأرقام الكبيرة جدًا، واستخدام عمليات الإزاحة الكبيرة عالية المخاطر، والاعتماد المفرط على آليات الفحص من المكتبات الخارجية، والأهم من ذلك، عندما تحسب النظام نسبة تبادل غير معقولة بشكل واضح، لم يتم إجراء أي تحقق من الفهم الاقتصادي قبل تنفيذ العملية مباشرة.
يكشف هذا الحدث عن أوجه قصور فريق Cetus في عدة جوانب:
عدم وجود تقييم شامل لأمان المكتبات الخارجية. على الرغم من استخدام مكتبات مفتوحة المصدر الشهيرة، إلا أنه عند إدارة الأصول الضخمة، لم يتم فهم حدود أمان هذه المكتبة والمخاطر المحتملة بشكل كافٍ.
نقص القيود المدخلة المعقولة. على الرغم من أن اللامركزية هي الفكرة الأساسية لـ DeFi، إلا أن الأنظمة المالية الناضجة لا تزال بحاجة إلى تحديد حدود واضحة. السماح بإدخال أرقام فلكية غير تقليدية يعكس نقص حساسية الفريق تجاه إدارة المخاطر المالية.
الاعتماد المفرط على التدقيق الأمني. لم تتمكن جولات التدقيق الأمني المتعددة من اكتشاف المشكلات مسبقًا، مما يكشف عن ميل المشروع لتفويض المسؤولية الأمنية بشكل مفرط إلى شركات التدقيق. ومع ذلك، فإن التدقيق الأمني يركز بشكل رئيسي على ثغرات الشيفرة، مما يجعل من الصعب تغطية الحدود المعقدة التي تمتد عبر الرياضيات والتشفير والاقتصاد.
تسلط هذه الحالة الضوء على نقاط الضعف النظامية الشائعة في صناعة DeFi: الفرق التي تتمتع بخلفية تقنية بحتة غالبًا ما تفتقر إلى الوعي الكافي بمخاطر المالية. وفقًا لتقرير Cetus، يبدو أن الفريق لم يدرك ذلك بشكل كاف.
بالنسبة لـ Cetus وصناعة DeFi بأكملها ، فإن الأمر الملح هو تجاوز قيود التفكير التقني البحت وزرع الوعي الأمني بمخاطر "مهندسي المالية" الحقيقيين. يمكن أن تشمل التدابير المحددة: استقدام خبراء في إدارة المخاطر المالية لسد الفجوات المعرفية في الفريق التقني؛ إنشاء آلية مراجعة تدقيق متعددة الأطراف ، لا تركز فقط على تدقيق الشفرة ، ولكن أيضًا تعطي أهمية لتدقيق نماذج الاقتصاد؛ تطوير "حاسة مالية" ، ومحاكاة سيناريوهات الهجوم المختلفة ووضع تدابير استجابة مناسبة ، مع الحفاظ على يقظة عالية تجاه العمليات غير العادية.
مع تطور الصناعة المستمر، قد تتناقص الثغرات الفنية البحتة على مستوى الشيفرة تدريجياً، لكن "ثغرات الوعي" في المنطق التجاري ستصبح تحدياً أكبر. يمكن لشركات التدقيق التأكد من صحة الشيفرة، لكن كيفية ضمان "حدود المنطق" تتطلب من فريق المشروع فهمًا أعمق وقدرة على التحكم في جوهر العمل.
في المستقبل، سيكون قادة صناعة DeFi هم أولئك الذين ليس فقط يتمتعون بمهارات قوية في تقنيات البرمجة، ولكن أيضًا لديهم فهم عميق للمنطق التجاري. يتطلب ذلك دمج المعرفة من مجالات متعددة وزيادة مستمرة في الوعي بالأمان.