O Cetus Protocol lançou recentemente um relatório de análise de segurança sobre um incidente de ataque hacker. Este relatório fornece informações detalhadas sobre os aspectos técnicos e a resposta a emergências, sendo considerado um caso de nível de manual. No entanto, ao explicar a causa raiz do ataque, o relatório parece ser um pouco reticente.
O relatório discute principalmente o erro de verificação da função checked_shlw na biblioteca integer-mate, classificando-o como uma "interpretação semântica errada". Embora essa expressão possa ser válida em termos técnicos, parece intencionalmente transferir a responsabilidade para fatores externos, insinuando que a Cetus também é uma vítima desse defeito técnico.
No entanto, uma análise mais profunda revela que o sucesso dos ataques de hackers requer a satisfação simultânea de várias condições-chave: verificação de estouro incorreta, operações de deslocamento significativo, regras de arredondamento para cima e falta de validação de racionalidade econômica. Surpreendentemente, a Cetus cometeu descuidos em cada um dos pontos de gatilho, incluindo aceitar entradas de usuário com valores extremamente altos, adotar operações de deslocamento significativo com alto risco, depender excessivamente dos mecanismos de verificação de bibliotecas externas e, o mais crítico, quando o sistema calculou uma taxa de troca claramente irracional, não realizou nenhuma validação de senso econômico antes de executar a operação.
Este evento revelou as deficiências da equipe Cetus em vários aspectos:
Falta de avaliação abrangente da segurança de bibliotecas de terceiros. Embora bibliotecas de código aberto amplamente utilizadas tenham sido empregues, ao gerenciar ativos massivos, não foi possível compreender adequadamente os limites de segurança e os riscos potenciais dessa biblioteca.
Falta de limites razoáveis de entrada. Embora a descentralização seja o conceito central do DeFi, um sistema financeiro maduro ainda requer a definição de limites claros. Permitir a entrada de números astronômicos não convencionais reflete a falta de sensibilidade da equipe em relação à gestão de riscos financeiros.
Dependência excessiva de auditorias de segurança. Várias auditorias de segurança não conseguiram identificar problemas antecipadamente, expondo uma tendência de que as equipes do projeto podem estar a terceirizar excessivamente a responsabilidade de segurança para as empresas de auditoria. No entanto, as auditorias de segurança concentram-se principalmente em vulnerabilidades de código, sendo difíceis de cobrir a validação de limites complexos que cruzam matemática, criptografia e economia.
Este caso destaca a vulnerabilidade sistêmica comum na indústria DeFi: as equipas com um fundo técnico puro geralmente carecem de uma consciência adequada dos riscos financeiros. De acordo com o relatório da Cetus, a equipa parece ainda não ter reconhecido plenamente isso.
Para a Cetus e toda a indústria DeFi, a prioridade é superar as limitações do pensamento puramente técnico e cultivar a consciência de risco de segurança de verdadeiros "engenheiros financeiros". As medidas específicas podem incluir: a introdução de especialistas em gestão de risco financeiro para preencher as lacunas de conhecimento da equipe técnica; estabelecer um mecanismo de auditoria e revisão multidisciplinar, que não apenas se concentre na auditoria de código, mas também valorize a auditoria de modelos econômicos; cultivar um "olfato financeiro", simular vários cenários de ataque e elaborar medidas de resposta correspondentes, mantendo uma alta vigilância sobre operações anômalas.
Com o contínuo desenvolvimento da indústria, as vulnerabilidades puramente técnicas no nível do código podem diminuir gradualmente, mas as "vulnerabilidades de consciência" na lógica de negócios se tornarão um desafio maior. As empresas de auditoria podem garantir que o código esteja correto, mas como garantir que a "lógica tenha limites" requer que a equipe do projeto tenha um entendimento mais profundo e uma maior capacidade de controle sobre a essência do negócio.
No futuro, os líderes da indústria DeFi serão aqueles que não apenas dominam a tecnologia de código, mas também têm uma compreensão profunda da lógica de negócios. Isso requer uma fusão de conhecimentos de várias áreas e um aumento contínuo da conscientização sobre segurança.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
10 Curtidas
Recompensa
10
8
Repostar
Compartilhar
Comentário
0/400
Ramen_Until_Rich
· 07-28 21:30
Outra vez a armadilha de fazer tecnologia pura para brincar com a segurança.
Ver originalResponder0
DancingCandles
· 07-28 18:44
Mais uma vez a auditoria não chegou~
Ver originalResponder0
DegenWhisperer
· 07-28 14:37
Mais uma vítima, apenas.
Ver originalResponder0
AirdropHunterZhang
· 07-28 09:22
fazer as pessoas de parvas uma vez mais, já não me preocupo, nem consigo arcar com a conta de eletricidade.
Ver originalResponder0
GasFeeWhisperer
· 07-25 22:21
Ver relatórios é como coçar uma coceira, não chega a lado nenhum.
Ver originalResponder0
airdrop_whisperer
· 07-25 22:12
Hoje vamos arranjar uma moeda para puxar o tapete.
Ver originalResponder0
AirdropFreedom
· 07-25 22:11
Um idiota que pensa em airdrop todos os dias.
Ver originalResponder0
gas_guzzler
· 07-25 22:08
A tecnologia não corresponde ao volume de capital.
Revisão do incidente do hacker Cetus: a indústria DeFi precisa urgentemente cultivar a consciência de segurança em engenharia financeira
O Cetus Protocol lançou recentemente um relatório de análise de segurança sobre um incidente de ataque hacker. Este relatório fornece informações detalhadas sobre os aspectos técnicos e a resposta a emergências, sendo considerado um caso de nível de manual. No entanto, ao explicar a causa raiz do ataque, o relatório parece ser um pouco reticente.
O relatório discute principalmente o erro de verificação da função checked_shlw na biblioteca integer-mate, classificando-o como uma "interpretação semântica errada". Embora essa expressão possa ser válida em termos técnicos, parece intencionalmente transferir a responsabilidade para fatores externos, insinuando que a Cetus também é uma vítima desse defeito técnico.
No entanto, uma análise mais profunda revela que o sucesso dos ataques de hackers requer a satisfação simultânea de várias condições-chave: verificação de estouro incorreta, operações de deslocamento significativo, regras de arredondamento para cima e falta de validação de racionalidade econômica. Surpreendentemente, a Cetus cometeu descuidos em cada um dos pontos de gatilho, incluindo aceitar entradas de usuário com valores extremamente altos, adotar operações de deslocamento significativo com alto risco, depender excessivamente dos mecanismos de verificação de bibliotecas externas e, o mais crítico, quando o sistema calculou uma taxa de troca claramente irracional, não realizou nenhuma validação de senso econômico antes de executar a operação.
Este evento revelou as deficiências da equipe Cetus em vários aspectos:
Falta de avaliação abrangente da segurança de bibliotecas de terceiros. Embora bibliotecas de código aberto amplamente utilizadas tenham sido empregues, ao gerenciar ativos massivos, não foi possível compreender adequadamente os limites de segurança e os riscos potenciais dessa biblioteca.
Falta de limites razoáveis de entrada. Embora a descentralização seja o conceito central do DeFi, um sistema financeiro maduro ainda requer a definição de limites claros. Permitir a entrada de números astronômicos não convencionais reflete a falta de sensibilidade da equipe em relação à gestão de riscos financeiros.
Dependência excessiva de auditorias de segurança. Várias auditorias de segurança não conseguiram identificar problemas antecipadamente, expondo uma tendência de que as equipes do projeto podem estar a terceirizar excessivamente a responsabilidade de segurança para as empresas de auditoria. No entanto, as auditorias de segurança concentram-se principalmente em vulnerabilidades de código, sendo difíceis de cobrir a validação de limites complexos que cruzam matemática, criptografia e economia.
Este caso destaca a vulnerabilidade sistêmica comum na indústria DeFi: as equipas com um fundo técnico puro geralmente carecem de uma consciência adequada dos riscos financeiros. De acordo com o relatório da Cetus, a equipa parece ainda não ter reconhecido plenamente isso.
Para a Cetus e toda a indústria DeFi, a prioridade é superar as limitações do pensamento puramente técnico e cultivar a consciência de risco de segurança de verdadeiros "engenheiros financeiros". As medidas específicas podem incluir: a introdução de especialistas em gestão de risco financeiro para preencher as lacunas de conhecimento da equipe técnica; estabelecer um mecanismo de auditoria e revisão multidisciplinar, que não apenas se concentre na auditoria de código, mas também valorize a auditoria de modelos econômicos; cultivar um "olfato financeiro", simular vários cenários de ataque e elaborar medidas de resposta correspondentes, mantendo uma alta vigilância sobre operações anômalas.
Com o contínuo desenvolvimento da indústria, as vulnerabilidades puramente técnicas no nível do código podem diminuir gradualmente, mas as "vulnerabilidades de consciência" na lógica de negócios se tornarão um desafio maior. As empresas de auditoria podem garantir que o código esteja correto, mas como garantir que a "lógica tenha limites" requer que a equipe do projeto tenha um entendimento mais profundo e uma maior capacidade de controle sobre a essência do negócio.
No futuro, os líderes da indústria DeFi serão aqueles que não apenas dominam a tecnologia de código, mas também têm uma compreensão profunda da lógica de negócios. Isso requer uma fusão de conhecimentos de várias áreas e um aumento contínuo da conscientização sobre segurança.