Протокол Cetus недавно выпустил отчет о безопасности по инциденту с хакерской атакой. Этот отчет предоставляет подробную информацию о технических деталях и реагировании на чрезвычайные ситуации, что делает его образцовым случаем. Однако при объяснении коренных причин атаки отчет кажется сдержанным.
Доклад сосредоточен на обсуждении ошибки проверки функции checked_shlw в библиотеке integer-mate, классифицируя её как "семантическое недоразумение". Хотя такая формулировка может быть оправдана на техническом уровне, она, похоже, намеренно пытается переложить ответственность на внешние факторы, подразумевая, что Cetus также является жертвой данного технического недостатка.
Однако, глубокий анализ показывает, что успех хакерской атаки требует одновременного выполнения нескольких ключевых условий: некорректная проверка на переполнение, значительные операции сдвига, правила округления вверх и отсутствие проверки экономической разумности. Удивительно, но в Cetus на каждом из триггерных моментов были допущены ошибки, включая принятие очень больших значений пользовательского ввода, использование операций сдвига с высоким риском, чрезмерную зависимость от механизмов проверки внешних библиотек, и что наиболее важно, когда система вычислила явно неразумное соотношение обмена, операция была выполнена без какой-либо проверки экономической здравости.
Это событие выявило недостатки команды Cetus в нескольких аспектах:
Отсутствие всесторонней оценки безопасности сторонних библиотек. Несмотря на использование популярных библиотек с открытым исходным кодом, при управлении большими активами не удалось полностью понять границы безопасности и потенциальные риски этой библиотеки.
Недостаток разумных ограничений на ввод. Хотя децентрализация является основной идеей DeFi, зрелым финансовым системам по-прежнему необходимы четкие границы. Позволяя вводить нестандартные астрономические цифры, команда демонстрирует недостаток чувствительности к управлению финансовыми рисками.
Чрезмерная зависимость от аудита безопасности. Многоуровневый аудит безопасности не смог заранее выявить проблемы, что выявляет тенденцию проектной команды чрезмерно передавать ответственность за безопасность аудиторам. Однако аудит безопасности в основном сосредоточен на уязвимостях кода и трудно охватывает сложные границы валидации, пересекающие математику, криптографию и экономику.
Этот случай подчеркивает системные недостатки безопасности, которые широко распространены в индустрии DeFi: команды с чисто техническим фоном часто не обладают достаточной финансовой грамотностью в вопросах риска. Судя по отчету Cetus, команда, похоже, еще не осознала это в полной мере.
Для Cetus и всей индустрии DeFi первоочередной задачей является преодоление ограничений чисто технического мышления и развитие настоящего осознания рисков безопасности у "финансовых инженеров". Конкретные меры могут включать: привлечение экспертов по финансовому риску для устранения пробелов в знаниях технической команды; создание многоуровневой системы аудита, которая не только сосредоточена на аудитах кода, но и уделяет внимание аудиту экономических моделей; развитие "финансового чутья", моделирование различных сценариев атак и разработка соответствующих мер реагирования, а также поддержание высокой настороженности к аномальным операциям.
С развитием отрасли чисто кодовые уязвимости могут постепенно уменьшиться, но "осознанные уязвимости" в бизнес-логике станут более серьезной проблемой. Аудиторские компании могут гарантировать, что код без ошибок, но как обеспечить, чтобы "логика имела границы", требует от проектной команды более глубокого понимания и контроля над сутью бизнеса.
В будущем лидерами в индустрии DeFi станут команды, которые не только обладают крепкими навыками в кодировании, но и имеют глубокое понимание бизнес-логики. Это требует интеграции знаний из разных областей и постоянного повышения осведомленности о безопасности.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
8
Репост
Поделиться
комментарий
0/400
Ramen_Until_Rich
· 07-28 21:30
Опять чисто техническая ловушка для безопасности
Посмотреть ОригиналОтветить0
DancingCandles
· 07-28 18:44
Еще один аудит не состоялся~
Посмотреть ОригиналОтветить0
DegenWhisperer
· 07-28 14:37
Ещё одна жертва.
Посмотреть ОригиналОтветить0
AirdropHunterZhang
· 07-28 09:22
又被 разыгрывайте людей как лохов一茬 看开了 电费都亏不起啦
Посмотреть ОригиналОтветить0
GasFeeWhisperer
· 07-25 22:21
Смотреть отчет — это как чесать зуд, не попадая в точку.
Посмотреть ОригиналОтветить0
airdrop_whisperer
· 07-25 22:12
Сегодня организуем мошенничество с токенами.
Посмотреть ОригиналОтветить0
AirdropFreedom
· 07-25 22:11
Один неудачник, который каждый день думает об Аирдропе
Анализ инцидента с хакером Cetus: Децентрализованные финансы нуждаются в повышении осведомленности о безопасности финансовой инженерии
Протокол Cetus недавно выпустил отчет о безопасности по инциденту с хакерской атакой. Этот отчет предоставляет подробную информацию о технических деталях и реагировании на чрезвычайные ситуации, что делает его образцовым случаем. Однако при объяснении коренных причин атаки отчет кажется сдержанным.
Доклад сосредоточен на обсуждении ошибки проверки функции checked_shlw в библиотеке integer-mate, классифицируя её как "семантическое недоразумение". Хотя такая формулировка может быть оправдана на техническом уровне, она, похоже, намеренно пытается переложить ответственность на внешние факторы, подразумевая, что Cetus также является жертвой данного технического недостатка.
Однако, глубокий анализ показывает, что успех хакерской атаки требует одновременного выполнения нескольких ключевых условий: некорректная проверка на переполнение, значительные операции сдвига, правила округления вверх и отсутствие проверки экономической разумности. Удивительно, но в Cetus на каждом из триггерных моментов были допущены ошибки, включая принятие очень больших значений пользовательского ввода, использование операций сдвига с высоким риском, чрезмерную зависимость от механизмов проверки внешних библиотек, и что наиболее важно, когда система вычислила явно неразумное соотношение обмена, операция была выполнена без какой-либо проверки экономической здравости.
Это событие выявило недостатки команды Cetus в нескольких аспектах:
Отсутствие всесторонней оценки безопасности сторонних библиотек. Несмотря на использование популярных библиотек с открытым исходным кодом, при управлении большими активами не удалось полностью понять границы безопасности и потенциальные риски этой библиотеки.
Недостаток разумных ограничений на ввод. Хотя децентрализация является основной идеей DeFi, зрелым финансовым системам по-прежнему необходимы четкие границы. Позволяя вводить нестандартные астрономические цифры, команда демонстрирует недостаток чувствительности к управлению финансовыми рисками.
Чрезмерная зависимость от аудита безопасности. Многоуровневый аудит безопасности не смог заранее выявить проблемы, что выявляет тенденцию проектной команды чрезмерно передавать ответственность за безопасность аудиторам. Однако аудит безопасности в основном сосредоточен на уязвимостях кода и трудно охватывает сложные границы валидации, пересекающие математику, криптографию и экономику.
Этот случай подчеркивает системные недостатки безопасности, которые широко распространены в индустрии DeFi: команды с чисто техническим фоном часто не обладают достаточной финансовой грамотностью в вопросах риска. Судя по отчету Cetus, команда, похоже, еще не осознала это в полной мере.
Для Cetus и всей индустрии DeFi первоочередной задачей является преодоление ограничений чисто технического мышления и развитие настоящего осознания рисков безопасности у "финансовых инженеров". Конкретные меры могут включать: привлечение экспертов по финансовому риску для устранения пробелов в знаниях технической команды; создание многоуровневой системы аудита, которая не только сосредоточена на аудитах кода, но и уделяет внимание аудиту экономических моделей; развитие "финансового чутья", моделирование различных сценариев атак и разработка соответствующих мер реагирования, а также поддержание высокой настороженности к аномальным операциям.
С развитием отрасли чисто кодовые уязвимости могут постепенно уменьшиться, но "осознанные уязвимости" в бизнес-логике станут более серьезной проблемой. Аудиторские компании могут гарантировать, что код без ошибок, но как обеспечить, чтобы "логика имела границы", требует от проектной команды более глубокого понимания и контроля над сутью бизнеса.
В будущем лидерами в индустрии DeFi станут команды, которые не только обладают крепкими навыками в кодировании, но и имеют глубокое понимание бизнес-логики. Это требует интеграции знаний из разных областей и постоянного повышения осведомленности о безопасности.