Cetus Protocol baru-baru ini merilis laporan evaluasi keamanan mengenai insiden serangan hacker. Laporan ini memberikan informasi yang rinci dalam hal detail teknis dan respons darurat, layak disebut sebagai kasus tingkat buku teks. Namun, saat menjelaskan penyebab dasar serangan, laporan tersebut tampak agak enggan.
Laporan ini menyoroti kesalahan pemeriksaan pada fungsi checked_shlw dalam pustaka integer-mate, mengklasifikasikannya sebagai "kesalahpahaman semantik". Meskipun pernyataan ini dapat diterima secara teknis, tampaknya ada niat untuk mengalihkan tanggung jawab kepada faktor eksternal, menyiratkan bahwa Cetus juga merupakan korban dari cacat teknologi ini.
Namun, analisis mendalam akan menunjukkan bahwa keberhasilan serangan Hacker membutuhkan pemenuhan beberapa kondisi kunci secara bersamaan: pemeriksaan overflow yang salah, operasi pergeseran besar yang signifikan, aturan pembulatan ke atas, serta kurangnya verifikasi kelayakan ekonomi. Yang mengejutkan, Cetus mengalami kelalaian di setiap titik pemicu, termasuk menerima input pengguna dengan nilai yang sangat besar, menggunakan operasi pergeseran besar yang berisiko tinggi, terlalu bergantung pada mekanisme pemeriksaan pustaka eksternal, dan yang paling penting, ketika sistem menghitung rasio pertukaran yang jelas tidak masuk akal, ternyata tidak melakukan verifikasi pengetahuan ekonomi sama sekali sebelum langsung melaksanakan operasi.
Peristiwa ini mengungkapkan kekurangan tim Cetus dalam beberapa aspek:
Kurangnya evaluasi menyeluruh terhadap keamanan pustaka pihak ketiga. Meskipun menggunakan pustaka sumber terbuka yang populer, saat mengelola aset yang sangat besar, tidak berhasil memahami batasan keamanan dan risiko potensial dari pustaka tersebut.
Kurangnya batasan input yang rasional. Meskipun desentralisasi adalah inti dari DeFi, sistem keuangan yang matang masih memerlukan penetapan batasan yang jelas. Mengizinkan input angka astronomi yang tidak biasa mencerminkan kurangnya sensitivitas tim terhadap manajemen risiko keuangan.
Ketergantungan berlebihan pada audit keamanan. Beberapa putaran audit keamanan gagal mengidentifikasi masalah sebelumnya, mengungkapkan kecenderungan pihak proyek untuk terlalu mengalihkan tanggung jawab keamanan kepada perusahaan audit. Namun, audit keamanan terutama berfokus pada kerentanan kode, sulit untuk mencakup verifikasi batas kompleks yang melibatkan matematika, kriptografi, dan ekonomi.
Kasus ini menyoroti kelemahan keamanan sistemik yang umum di industri DeFi: tim dengan latar belakang teknis murni sering kali kurang memiliki kesadaran risiko keuangan yang cukup. Dari laporan Cetus, tampaknya tim tersebut belum sepenuhnya menyadari hal ini.
Bagi Cetus dan seluruh industri DeFi, prioritas mendesak adalah untuk mengatasi batasan pemikiran teknis murni dan mengembangkan kesadaran risiko keamanan "insinyur keuangan" yang sesungguhnya. Langkah-langkah konkret dapat mencakup: melibatkan ahli manajemen risiko keuangan untuk menutupi kekurangan pengetahuan tim teknis; membangun mekanisme audit multi-pihak, tidak hanya fokus pada audit kode, tetapi juga memperhatikan audit model ekonomi; mengembangkan "indera keuangan", mensimulasikan berbagai skenario serangan dan merumuskan langkah-langkah tanggapan yang sesuai, serta tetap waspada terhadap operasi yang mencurigakan.
Seiring dengan perkembangan industri, kerentanan teknis murni di tingkat kode mungkin akan berkurang, tetapi "kerentanan kesadaran" dalam logika bisnis akan menjadi tantangan yang lebih besar. Perusahaan audit dapat memastikan bahwa kode tersebut benar, tetapi bagaimana memastikan bahwa "logika memiliki batas" memerlukan tim proyek untuk memiliki pemahaman dan kemampuan pengendalian yang lebih mendalam tentang sifat bisnis.
Di masa depan, pemimpin industri DeFi akan menjadi tim yang tidak hanya kuat dalam teknologi kode, tetapi juga memiliki pemahaman mendalam tentang logika bisnis. Ini memerlukan penggabungan pengetahuan lintas bidang dan peningkatan kesadaran keamanan yang berkelanjutan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
8
Posting ulang
Bagikan
Komentar
0/400
Ramen_Until_Rich
· 07-28 21:30
Ini adalah jebakan yang murni menggunakan teknologi untuk bermain aman.
Lihat AsliBalas0
DancingCandles
· 07-28 18:44
Audit belum selesai lagi~
Lihat AsliBalas0
DegenWhisperer
· 07-28 14:37
Hanya satu korban lagi.
Lihat AsliBalas0
AirdropHunterZhang
· 07-28 09:22
Sudah dipermainkan lagi, saya sudah mengerti. Biaya listrik saja sudah tidak mampu lagi.
Lihat AsliBalas0
GasFeeWhisperer
· 07-25 22:21
Melihat laporan seperti menggaruk gatal, tidak ada yang mengenai titiknya.
Lihat AsliBalas0
airdrop_whisperer
· 07-25 22:12
Hari ini diatur untuk Rug Pull koin.
Lihat AsliBalas0
AirdropFreedom
· 07-25 22:11
Seorang suckers yang setiap hari memikirkan Airdrop
Analisis Insiden Hacker Cetus: Industri Keuangan Desentralisasi Memerlukan Kesadaran Keamanan Rekayasa Keuangan
Cetus Protocol baru-baru ini merilis laporan evaluasi keamanan mengenai insiden serangan hacker. Laporan ini memberikan informasi yang rinci dalam hal detail teknis dan respons darurat, layak disebut sebagai kasus tingkat buku teks. Namun, saat menjelaskan penyebab dasar serangan, laporan tersebut tampak agak enggan.
Laporan ini menyoroti kesalahan pemeriksaan pada fungsi checked_shlw dalam pustaka integer-mate, mengklasifikasikannya sebagai "kesalahpahaman semantik". Meskipun pernyataan ini dapat diterima secara teknis, tampaknya ada niat untuk mengalihkan tanggung jawab kepada faktor eksternal, menyiratkan bahwa Cetus juga merupakan korban dari cacat teknologi ini.
Namun, analisis mendalam akan menunjukkan bahwa keberhasilan serangan Hacker membutuhkan pemenuhan beberapa kondisi kunci secara bersamaan: pemeriksaan overflow yang salah, operasi pergeseran besar yang signifikan, aturan pembulatan ke atas, serta kurangnya verifikasi kelayakan ekonomi. Yang mengejutkan, Cetus mengalami kelalaian di setiap titik pemicu, termasuk menerima input pengguna dengan nilai yang sangat besar, menggunakan operasi pergeseran besar yang berisiko tinggi, terlalu bergantung pada mekanisme pemeriksaan pustaka eksternal, dan yang paling penting, ketika sistem menghitung rasio pertukaran yang jelas tidak masuk akal, ternyata tidak melakukan verifikasi pengetahuan ekonomi sama sekali sebelum langsung melaksanakan operasi.
Peristiwa ini mengungkapkan kekurangan tim Cetus dalam beberapa aspek:
Kurangnya evaluasi menyeluruh terhadap keamanan pustaka pihak ketiga. Meskipun menggunakan pustaka sumber terbuka yang populer, saat mengelola aset yang sangat besar, tidak berhasil memahami batasan keamanan dan risiko potensial dari pustaka tersebut.
Kurangnya batasan input yang rasional. Meskipun desentralisasi adalah inti dari DeFi, sistem keuangan yang matang masih memerlukan penetapan batasan yang jelas. Mengizinkan input angka astronomi yang tidak biasa mencerminkan kurangnya sensitivitas tim terhadap manajemen risiko keuangan.
Ketergantungan berlebihan pada audit keamanan. Beberapa putaran audit keamanan gagal mengidentifikasi masalah sebelumnya, mengungkapkan kecenderungan pihak proyek untuk terlalu mengalihkan tanggung jawab keamanan kepada perusahaan audit. Namun, audit keamanan terutama berfokus pada kerentanan kode, sulit untuk mencakup verifikasi batas kompleks yang melibatkan matematika, kriptografi, dan ekonomi.
Kasus ini menyoroti kelemahan keamanan sistemik yang umum di industri DeFi: tim dengan latar belakang teknis murni sering kali kurang memiliki kesadaran risiko keuangan yang cukup. Dari laporan Cetus, tampaknya tim tersebut belum sepenuhnya menyadari hal ini.
Bagi Cetus dan seluruh industri DeFi, prioritas mendesak adalah untuk mengatasi batasan pemikiran teknis murni dan mengembangkan kesadaran risiko keamanan "insinyur keuangan" yang sesungguhnya. Langkah-langkah konkret dapat mencakup: melibatkan ahli manajemen risiko keuangan untuk menutupi kekurangan pengetahuan tim teknis; membangun mekanisme audit multi-pihak, tidak hanya fokus pada audit kode, tetapi juga memperhatikan audit model ekonomi; mengembangkan "indera keuangan", mensimulasikan berbagai skenario serangan dan merumuskan langkah-langkah tanggapan yang sesuai, serta tetap waspada terhadap operasi yang mencurigakan.
Seiring dengan perkembangan industri, kerentanan teknis murni di tingkat kode mungkin akan berkurang, tetapi "kerentanan kesadaran" dalam logika bisnis akan menjadi tantangan yang lebih besar. Perusahaan audit dapat memastikan bahwa kode tersebut benar, tetapi bagaimana memastikan bahwa "logika memiliki batas" memerlukan tim proyek untuk memiliki pemahaman dan kemampuan pengendalian yang lebih mendalam tentang sifat bisnis.
Di masa depan, pemimpin industri DeFi akan menjadi tim yang tidak hanya kuat dalam teknologi kode, tetapi juga memiliki pemahaman mendalam tentang logika bisnis. Ini memerlukan penggabungan pengetahuan lintas bidang dan peningkatan kesadaran keamanan yang berkelanjutan.