Cetus Protocol recientemente publicó un informe de revisión de seguridad sobre un incidente de ataque Hacker. Este informe proporciona información detallada sobre los aspectos técnicos y la respuesta de emergencia, siendo un caso digno de un libro de texto. Sin embargo, al explicar la causa raíz del ataque, el informe parece ser reservado.
El informe se centra en discutir el error de verificación en la función checked_shlw de la biblioteca integer-mate, clasificándolo como "malentendido semántico". Aunque esta afirmación puede ser válida a nivel técnico, parece tener la intención de desviar la responsabilidad hacia factores externos, sugiriendo que Cetus también es víctima de este defecto técnico.
Sin embargo, un análisis más profundo revela que el éxito de un ataque de Hacker requiere cumplir simultáneamente con varias condiciones clave: una verificación de desbordamiento incorrecta, operaciones de desplazamiento de gran magnitud, reglas de redondeo hacia arriba, y una falta de validación de razonabilidad económica. Sorprendentemente, Cetus mostró negligencia en cada uno de los puntos de activación, incluyendo la aceptación de entradas de usuario con valores extremadamente grandes, el uso de operaciones de desplazamiento de gran magnitud de alto riesgo, la dependencia excesiva de los mecanismos de verificación de bibliotecas externas, y lo más crítico, cuando el sistema calculó una tasa de intercambio evidentemente irracional, se ejecutó la operación sin realizar ninguna verificación de sentido común económico.
Este evento revela las deficiencias del equipo de Cetus en varios aspectos:
Falta de una evaluación integral de la seguridad de las bibliotecas de terceros. A pesar de utilizar bibliotecas de código abierto populares, no se ha logrado entender completamente los límites de seguridad y los riesgos potenciales al gestionar grandes activos.
Falta de límites de entrada razonables. Aunque la descentralización es el concepto central de DeFi, un sistema financiero maduro aún necesita establecer límites claros. Permitir entradas de cifras astronómicas no convencionales refleja una falta de sensibilidad del equipo hacia la gestión de riesgos financieros.
Dependencia excesiva de las auditorías de seguridad. Las múltiples auditorías de seguridad no lograron detectar problemas de antemano, revelando la tendencia de los desarrolladores a externalizar en exceso la responsabilidad de seguridad a las empresas de auditoría. Sin embargo, las auditorías de seguridad se centran principalmente en las vulnerabilidades del código, lo que dificulta cubrir las complejas verificaciones que cruzan las fronteras de las matemáticas, la criptografía y la economía.
Este caso destaca una deficiencia sistemática de seguridad que existe comúnmente en la industria DeFi: los equipos con un trasfondo puramente técnico a menudo carecen de una adecuada conciencia sobre el riesgo financiero. Según el informe de Cetus, el equipo parece no haber reconocido plenamente este hecho.
Para Cetus y toda la industria DeFi, la prioridad es superar las limitaciones del pensamiento puramente técnico y cultivar una verdadera conciencia de riesgo de seguridad entre los "ingenieros financieros". Las medidas específicas pueden incluir: introducir expertos en gestión de riesgos financieros para compensar las lagunas de conocimiento del equipo técnico; establecer un mecanismo de auditoría y revisión multidimensional, que no solo se centre en la auditoría de código, sino que también dé importancia a la auditoría de modelos económicos; cultivar un "olfato financiero", simular diversos escenarios de ataque y formular medidas de respuesta correspondientes, manteniendo una alta vigilancia sobre las operaciones anómalas.
A medida que la industria continúa desarrollándose, las vulnerabilidades técnicas puramente a nivel de código pueden disminuir gradualmente, pero las "vulnerabilidades de conciencia" en la lógica del negocio se convertirán en un desafío mayor. Las empresas de auditoría pueden garantizar que el código esté libre de errores, pero cómo asegurar que la "lógica tenga límites" requerirá que el equipo del proyecto tenga una comprensión y control más profundos de la esencia del negocio.
En el futuro, los líderes de la industria DeFi serán aquellos equipos que no solo tengan una sólida habilidad técnica en codificación, sino que también tengan una comprensión profunda de la lógica empresarial. Esto requiere una fusión de conocimientos multidisciplinarios y una continua mejora de la conciencia de seguridad.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
10 me gusta
Recompensa
10
8
Republicar
Compartir
Comentar
0/400
Ramen_Until_Rich
· 07-28 21:30
Otra vez es una trampa técnica jugando a la seguridad
Ver originalesResponder0
DancingCandles
· 07-28 18:44
Otra vez la auditoría no está en su lugar~
Ver originalesResponder0
DegenWhisperer
· 07-28 14:37
Solo otra víctima más.
Ver originalesResponder0
AirdropHunterZhang
· 07-28 09:22
Otra vez tomado a la gente por tonta. Lo he superado, ni siquiera puedo permitirme perder en la factura de electricidad.
Ver originalesResponder0
GasFeeWhisperer
· 07-25 22:21
Ver el informe es como rascarse una picazón, no se llega a ningún lado.
Ver originalesResponder0
airdrop_whisperer
· 07-25 22:12
Hoy se organiza un Rug Pull de moneda.
Ver originalesResponder0
AirdropFreedom
· 07-25 22:11
Un tonto que piensa en el Airdrop todos los días
Ver originalesResponder0
gas_guzzler
· 07-25 22:08
La tecnología no coincide con la cantidad de capital.
Revisión del incidente del hacker de Cetus: el sector DeFi necesita urgentemente cultivar la conciencia de seguridad en ingeniería financiera.
Cetus Protocol recientemente publicó un informe de revisión de seguridad sobre un incidente de ataque Hacker. Este informe proporciona información detallada sobre los aspectos técnicos y la respuesta de emergencia, siendo un caso digno de un libro de texto. Sin embargo, al explicar la causa raíz del ataque, el informe parece ser reservado.
El informe se centra en discutir el error de verificación en la función checked_shlw de la biblioteca integer-mate, clasificándolo como "malentendido semántico". Aunque esta afirmación puede ser válida a nivel técnico, parece tener la intención de desviar la responsabilidad hacia factores externos, sugiriendo que Cetus también es víctima de este defecto técnico.
Sin embargo, un análisis más profundo revela que el éxito de un ataque de Hacker requiere cumplir simultáneamente con varias condiciones clave: una verificación de desbordamiento incorrecta, operaciones de desplazamiento de gran magnitud, reglas de redondeo hacia arriba, y una falta de validación de razonabilidad económica. Sorprendentemente, Cetus mostró negligencia en cada uno de los puntos de activación, incluyendo la aceptación de entradas de usuario con valores extremadamente grandes, el uso de operaciones de desplazamiento de gran magnitud de alto riesgo, la dependencia excesiva de los mecanismos de verificación de bibliotecas externas, y lo más crítico, cuando el sistema calculó una tasa de intercambio evidentemente irracional, se ejecutó la operación sin realizar ninguna verificación de sentido común económico.
Este evento revela las deficiencias del equipo de Cetus en varios aspectos:
Falta de una evaluación integral de la seguridad de las bibliotecas de terceros. A pesar de utilizar bibliotecas de código abierto populares, no se ha logrado entender completamente los límites de seguridad y los riesgos potenciales al gestionar grandes activos.
Falta de límites de entrada razonables. Aunque la descentralización es el concepto central de DeFi, un sistema financiero maduro aún necesita establecer límites claros. Permitir entradas de cifras astronómicas no convencionales refleja una falta de sensibilidad del equipo hacia la gestión de riesgos financieros.
Dependencia excesiva de las auditorías de seguridad. Las múltiples auditorías de seguridad no lograron detectar problemas de antemano, revelando la tendencia de los desarrolladores a externalizar en exceso la responsabilidad de seguridad a las empresas de auditoría. Sin embargo, las auditorías de seguridad se centran principalmente en las vulnerabilidades del código, lo que dificulta cubrir las complejas verificaciones que cruzan las fronteras de las matemáticas, la criptografía y la economía.
Este caso destaca una deficiencia sistemática de seguridad que existe comúnmente en la industria DeFi: los equipos con un trasfondo puramente técnico a menudo carecen de una adecuada conciencia sobre el riesgo financiero. Según el informe de Cetus, el equipo parece no haber reconocido plenamente este hecho.
Para Cetus y toda la industria DeFi, la prioridad es superar las limitaciones del pensamiento puramente técnico y cultivar una verdadera conciencia de riesgo de seguridad entre los "ingenieros financieros". Las medidas específicas pueden incluir: introducir expertos en gestión de riesgos financieros para compensar las lagunas de conocimiento del equipo técnico; establecer un mecanismo de auditoría y revisión multidimensional, que no solo se centre en la auditoría de código, sino que también dé importancia a la auditoría de modelos económicos; cultivar un "olfato financiero", simular diversos escenarios de ataque y formular medidas de respuesta correspondientes, manteniendo una alta vigilancia sobre las operaciones anómalas.
A medida que la industria continúa desarrollándose, las vulnerabilidades técnicas puramente a nivel de código pueden disminuir gradualmente, pero las "vulnerabilidades de conciencia" en la lógica del negocio se convertirán en un desafío mayor. Las empresas de auditoría pueden garantizar que el código esté libre de errores, pero cómo asegurar que la "lógica tenga límites" requerirá que el equipo del proyecto tenga una comprensión y control más profundos de la esencia del negocio.
En el futuro, los líderes de la industria DeFi serán aquellos equipos que no solo tengan una sólida habilidad técnica en codificación, sino que también tengan una comprensión profunda de la lógica empresarial. Esto requiere una fusión de conocimientos multidisciplinarios y una continua mejora de la conciencia de seguridad.