Analyse de l'incident du hacker Cetus : le secteur de la Finance décentralisée doit d'urgence développer une conscience de la sécurité en ingénierie financière.
Le protocole Cetus a récemment publié un rapport de rétroaction sur la sécurité concernant un incident de piratage. Ce rapport fournit des informations détaillées sur les aspects techniques et la réponse d'urgence, ce qui en fait un cas de niveau manuel. Cependant, lors de l'explication des causes profondes de l'attaque, le rapport semble être réservé.
Le rapport discute principalement de l'erreur de vérification dans la fonction checked_shlw de la bibliothèque integer-mate, la classant comme un "malentendu sémantique". Bien que cette formulation puisse tenir sur le plan technique, elle semble vouloir transférer la responsabilité vers des facteurs externes, insinuant que Cetus est également victime de ce défaut technique.
Cependant, une analyse approfondie révèle que le succès des attaques des hackers nécessite de satisfaire simultanément plusieurs conditions clés : une vérification de débordement erronée, des opérations de décalage significatives, des règles d'arrondi, et un manque de validation de la rationalité économique. Fait surprenant, Cetus a négligé chaque point de déclenchement, y compris l'acceptation d'entrées utilisateur de valeurs extrêmement élevées, l'utilisation d'opérations de décalage significatif à haut risque, une dépendance excessive aux mécanismes de vérification des bibliothèques externes, et surtout, lorsque le système a calculé un ratio d'échange manifestement déraisonnable, il n'a pas effectué de vérification de bon sens économique avant d'exécuter l'opération.
Cet événement révèle les insuffisances de l'équipe de Cetus sur plusieurs aspects :
Manque d'évaluation complète de la sécurité des bibliothèques tierces. Bien que des bibliothèques open source largement utilisées aient été employées, la gestion d'énormes actifs n'a pas permis de comprendre pleinement les limites de sécurité et les risques potentiels de ces bibliothèques.
Manque de limites d'entrée raisonnables. Bien que la décentralisation soit le principe fondamental de la DeFi, un système financier mature nécessite néanmoins des limites clairement définies. Permettre l'entrée de chiffres astronomiques non conventionnels reflète un manque de sensibilité de l'équipe à la gestion des risques financiers.
Dépendance excessive aux audits de sécurité. Les audits de sécurité en plusieurs étapes n'ont pas réussi à détecter les problèmes à l'avance, révélant une tendance des équipes de projet à externaliser excessivement la responsabilité de la sécurité aux entreprises d'audit. Cependant, les audits de sécurité se concentrent principalement sur les vulnérabilités du code, ce qui rend difficile la couverture des validations complexes qui traversent les frontières des mathématiques, de la cryptographie et de l'économie.
Ce cas met en évidence la lacune systémique en matière de sécurité qui existe généralement dans l'industrie DeFi : les équipes ayant uniquement un arrière-plan technique manquent souvent de conscience des risques financiers. D'après le rapport de Cetus, il semble que l'équipe n'ait pas encore pleinement pris conscience de cela.
Pour Cetus et l'ensemble de l'industrie DeFi, il est urgent de dépasser les limites de la pensée purement technique et de développer une véritable conscience des risques de sécurité chez les "ingénieurs financiers". Les mesures spécifiques peuvent inclure : l'introduction d'experts en gestion des risques financiers pour combler les lacunes de connaissances de l'équipe technique ; l'établissement d'un mécanisme d'audit et de révision multipartite, en se concentrant non seulement sur l'audit du code, mais aussi sur l'audit des modèles économiques ; le développement d'un "odorat financier", la simulation de divers scénarios d'attaque et l'élaboration de mesures de réponse appropriées, tout en restant hautement vigilant face aux opérations anormales.
Avec le développement continu de l'industrie, les vulnérabilités techniques au niveau du code pur pourraient diminuer progressivement, mais les "vulnérabilités de conscience" dans la logique commerciale deviendront un défi plus important. Les sociétés d'audit peuvent garantir que le code est correct, mais comment s'assurer que "la logique a des limites" nécessite que l'équipe du projet ait une compréhension et un contrôle plus approfondis de la nature de l'entreprise.
À l'avenir, les leaders de l'industrie DeFi seront ceux qui, non seulement maîtrisent les compétences techniques en matière de code, mais qui ont également une compréhension approfondie de la logique commerciale. Cela nécessite une fusion des connaissances inter-domaines et une sensibilisation continue à la sécurité.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
10 J'aime
Récompense
10
8
Reposter
Partager
Commentaire
0/400
Ramen_Until_Rich
· 07-28 21:30
Encore un piège technique purement axé sur la sécurité.
Voir l'originalRépondre0
DancingCandles
· 07-28 18:44
Encore une fois, l'audit n'est pas à jour ~
Voir l'originalRépondre0
DegenWhisperer
· 07-28 14:37
C'est juste une autre victime.
Voir l'originalRépondre0
AirdropHunterZhang
· 07-28 09:22
Encore pris les gens pour des idiots, j'ai compris. Je ne peux même plus me permettre de perdre de l'argent sur la facture d'électricité.
Voir l'originalRépondre0
GasFeeWhisperer
· 07-25 22:21
Lire le rapport, c'est comme se gratter, on n'atteint jamais le bon endroit.
Voir l'originalRépondre0
airdrop_whisperer
· 07-25 22:12
Aujourd'hui, nous organisons un Rug Pull de jeton.
Voir l'originalRépondre0
AirdropFreedom
· 07-25 22:11
Un pigeon qui pense à l'Airdrop tous les jours
Voir l'originalRépondre0
gas_guzzler
· 07-25 22:08
La technologie ne correspond pas au montant de financement.
Analyse de l'incident du hacker Cetus : le secteur de la Finance décentralisée doit d'urgence développer une conscience de la sécurité en ingénierie financière.
Le protocole Cetus a récemment publié un rapport de rétroaction sur la sécurité concernant un incident de piratage. Ce rapport fournit des informations détaillées sur les aspects techniques et la réponse d'urgence, ce qui en fait un cas de niveau manuel. Cependant, lors de l'explication des causes profondes de l'attaque, le rapport semble être réservé.
Le rapport discute principalement de l'erreur de vérification dans la fonction checked_shlw de la bibliothèque integer-mate, la classant comme un "malentendu sémantique". Bien que cette formulation puisse tenir sur le plan technique, elle semble vouloir transférer la responsabilité vers des facteurs externes, insinuant que Cetus est également victime de ce défaut technique.
Cependant, une analyse approfondie révèle que le succès des attaques des hackers nécessite de satisfaire simultanément plusieurs conditions clés : une vérification de débordement erronée, des opérations de décalage significatives, des règles d'arrondi, et un manque de validation de la rationalité économique. Fait surprenant, Cetus a négligé chaque point de déclenchement, y compris l'acceptation d'entrées utilisateur de valeurs extrêmement élevées, l'utilisation d'opérations de décalage significatif à haut risque, une dépendance excessive aux mécanismes de vérification des bibliothèques externes, et surtout, lorsque le système a calculé un ratio d'échange manifestement déraisonnable, il n'a pas effectué de vérification de bon sens économique avant d'exécuter l'opération.
Cet événement révèle les insuffisances de l'équipe de Cetus sur plusieurs aspects :
Manque d'évaluation complète de la sécurité des bibliothèques tierces. Bien que des bibliothèques open source largement utilisées aient été employées, la gestion d'énormes actifs n'a pas permis de comprendre pleinement les limites de sécurité et les risques potentiels de ces bibliothèques.
Manque de limites d'entrée raisonnables. Bien que la décentralisation soit le principe fondamental de la DeFi, un système financier mature nécessite néanmoins des limites clairement définies. Permettre l'entrée de chiffres astronomiques non conventionnels reflète un manque de sensibilité de l'équipe à la gestion des risques financiers.
Dépendance excessive aux audits de sécurité. Les audits de sécurité en plusieurs étapes n'ont pas réussi à détecter les problèmes à l'avance, révélant une tendance des équipes de projet à externaliser excessivement la responsabilité de la sécurité aux entreprises d'audit. Cependant, les audits de sécurité se concentrent principalement sur les vulnérabilités du code, ce qui rend difficile la couverture des validations complexes qui traversent les frontières des mathématiques, de la cryptographie et de l'économie.
Ce cas met en évidence la lacune systémique en matière de sécurité qui existe généralement dans l'industrie DeFi : les équipes ayant uniquement un arrière-plan technique manquent souvent de conscience des risques financiers. D'après le rapport de Cetus, il semble que l'équipe n'ait pas encore pleinement pris conscience de cela.
Pour Cetus et l'ensemble de l'industrie DeFi, il est urgent de dépasser les limites de la pensée purement technique et de développer une véritable conscience des risques de sécurité chez les "ingénieurs financiers". Les mesures spécifiques peuvent inclure : l'introduction d'experts en gestion des risques financiers pour combler les lacunes de connaissances de l'équipe technique ; l'établissement d'un mécanisme d'audit et de révision multipartite, en se concentrant non seulement sur l'audit du code, mais aussi sur l'audit des modèles économiques ; le développement d'un "odorat financier", la simulation de divers scénarios d'attaque et l'élaboration de mesures de réponse appropriées, tout en restant hautement vigilant face aux opérations anormales.
Avec le développement continu de l'industrie, les vulnérabilités techniques au niveau du code pur pourraient diminuer progressivement, mais les "vulnérabilités de conscience" dans la logique commerciale deviendront un défi plus important. Les sociétés d'audit peuvent garantir que le code est correct, mais comment s'assurer que "la logique a des limites" nécessite que l'équipe du projet ait une compréhension et un contrôle plus approfondis de la nature de l'entreprise.
À l'avenir, les leaders de l'industrie DeFi seront ceux qui, non seulement maîtrisent les compétences techniques en matière de code, mais qui ont également une compréhension approfondie de la logique commerciale. Cela nécessite une fusion des connaissances inter-domaines et une sensibilisation continue à la sécurité.