Cetus Protocol yakın zamanda bir hacker saldırısı olayına ilişkin bir güvenlik değerlendirme raporu yayınladı. Bu rapor, teknik detaylar ve acil müdahale açısından kapsamlı bilgiler sunarak, adeta ders kitabı seviyesinde bir vaka niteliği taşıyor. Ancak, saldırının temel nedenini açıklarken rapor, bazı kısıtlamalar gösteriyor.
Rapor, integer-mate kütüphanesindeki checked_shlw fonksiyonunun kontrol hatalarını "anlamsal yanlış anlama" olarak sınıflandırarak vurgulamaktadır. Bu ifade, teknik açıdan geçerli olsa da, sorumluluğu dışsal faktörlere kaydırmaya yönelik bir niyet taşıyor gibi görünüyor ve Cetus'un da bu teknik açığın mağduru olduğunu ima ediyor.
Ancak derinlemesine bir analiz, hacker saldırılarının başarısının birkaç anahtar koşulun aynı anda sağlanmasını gerektirdiğini ortaya koymaktadır: hatalı taşma kontrolü, büyük kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik mantık doğrulamasının eksikliği. Şaşırtıcı bir şekilde, Cetus her bir tetikleme noktasında dikkatsizlik göstermiştir; bunun arasında büyük sayılardaki kullanıcı girdilerini kabul etmek, yüksek riskli büyük kaydırma işlemleri kullanmak, dış kütüphanelerin kontrol mekanizmalarına aşırı güvenmek ve en önemlisi, sistemin açıkça mantıksız bir değişim oranı hesapladığında, herhangi bir ekonomik mantık doğrulaması yapmadan doğrudan işlemi gerçekleştirmesi bulunmaktadır.
Bu olay, Cetus ekibinin birkaç alandaki eksikliklerini ortaya çıkardı:
Üçüncü taraf kütüphanelerinin güvenliğine yönelik kapsamlı bir değerlendirme eksikliği. Popüler açık kaynak kütüphanelerinin kullanılmış olmasına rağmen, büyük varlıkları yönetirken bu kütüphanenin güvenlik sınırlarını ve potansiyel risklerini yeterince anlamamışlardır.
Makul giriş kısıtlamalarının eksikliği. Merkeziyetsizlik DeFi'nin temel ilkesi olsa da, olgun finansal sistemlerin hâlâ belirgin sınırların belirlenmesine ihtiyacı vardır. Alışılmadık astronomik rakamların girmesine izin vermek, ekibin finansal risk yönetimine karşı duyarlılığının eksikliğini yansıtır.
Güvenlik denetimlerine aşırı bağımlılık. Birden fazla güvenlik denetimi, sorunları önceden tespit edemedi ve projenin güvenlik sorumluluğunu denetim şirketlerine aşırı şekilde devretme eğilimini ortaya koydu. Ancak, güvenlik denetimleri esasen kod açıklarına odaklanır ve matematik, kriptografi ve ekonomi gibi karmaşık sınırları kapsamakta zorluk çeker.
Bu vaka, DeFi sektöründe yaygın olarak bulunan sistematik güvenlik açıklarını vurgulamaktadır: Sadece teknik bir geçmişe sahip ekipler genellikle yeterli finansal risk bilincine sahip değildir. Cetus'un raporuna göre, ekip bu durumu henüz tam olarak kavrayamamış gibi görünüyor.
Cetus ve tüm DeFi sektörü için acil olan, saf teknik düşüncenin sınırlarını aşmak ve gerçek "finans mühendisleri" güvenlik risk farkındalığını geliştirmektir. Özellikle şu önlemler alınabilir: Finans risk yönetimi uzmanlarını dahil etmek, teknik ekibin bilgi boşluklarını kapatmak; sadece kod denetimine değil, ekonomik model denetimine de önem veren çok taraflı denetim mekanizmaları kurmak; "finans kokusu" geliştirmek, çeşitli saldırı senaryolarını simüle etmek ve buna karşılık gelen önlemleri belirlemek, anormal işlemlere karşı yüksek derecede dikkatli olmak.
Sektörün sürekli gelişimiyle birlikte, saf kod düzeyindeki teknik açıklar zamanla azalabilir, ancak iş mantığındaki "farkındalık açıkları" daha büyük bir zorluk haline gelecektir. Denetim şirketleri kodun hatasız olmasını sağlayabilir, ancak "mantığın sınırlarının belirlenmesi" projeyi yürüten ekibin işin doğasına daha derinlemesine bir anlayış ve kontrol yeteneğine sahip olmasını gerektirir.
Gelecekte, DeFi sektörünün liderleri yalnızca kod teknolojisinde yetkin olan değil, aynı zamanda iş mantığına derin bir anlayışa sahip olan ekipler olacaktır. Bu, disiplinler arası bilgi entegrasyonu ve sürekli güvenlik bilincinin artırılmasını gerektirir.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
10 Likes
Reward
10
8
Repost
Share
Comment
0/400
Ramen_Until_Rich
· 07-28 21:30
Yine tamamen teknoloji odaklı tuzak oyuncak güvenliği.
View OriginalReply0
DancingCandles
· 07-28 18:44
Yine denetim yerinde değil~
View OriginalReply0
DegenWhisperer
· 07-28 14:37
Bir başka kurban işte.
View OriginalReply0
AirdropHunterZhang
· 07-28 09:22
又被insanları enayi yerine koymak一茬 看开了 电费都亏不起啦
View OriginalReply0
GasFeeWhisperer
· 07-25 22:21
Raporu okumak, kaşınmak gibi; hiç bir yere tam ulaşamıyorsun.
Cetus Hacker olayı tekrar incelemesi: Merkezi Olmayan Finans sektörü finans mühendisliği güvenlik bilincini acilen geliştirmelidir
Cetus Protocol yakın zamanda bir hacker saldırısı olayına ilişkin bir güvenlik değerlendirme raporu yayınladı. Bu rapor, teknik detaylar ve acil müdahale açısından kapsamlı bilgiler sunarak, adeta ders kitabı seviyesinde bir vaka niteliği taşıyor. Ancak, saldırının temel nedenini açıklarken rapor, bazı kısıtlamalar gösteriyor.
Rapor, integer-mate kütüphanesindeki checked_shlw fonksiyonunun kontrol hatalarını "anlamsal yanlış anlama" olarak sınıflandırarak vurgulamaktadır. Bu ifade, teknik açıdan geçerli olsa da, sorumluluğu dışsal faktörlere kaydırmaya yönelik bir niyet taşıyor gibi görünüyor ve Cetus'un da bu teknik açığın mağduru olduğunu ima ediyor.
Ancak derinlemesine bir analiz, hacker saldırılarının başarısının birkaç anahtar koşulun aynı anda sağlanmasını gerektirdiğini ortaya koymaktadır: hatalı taşma kontrolü, büyük kaydırma işlemleri, yukarı yuvarlama kuralları ve ekonomik mantık doğrulamasının eksikliği. Şaşırtıcı bir şekilde, Cetus her bir tetikleme noktasında dikkatsizlik göstermiştir; bunun arasında büyük sayılardaki kullanıcı girdilerini kabul etmek, yüksek riskli büyük kaydırma işlemleri kullanmak, dış kütüphanelerin kontrol mekanizmalarına aşırı güvenmek ve en önemlisi, sistemin açıkça mantıksız bir değişim oranı hesapladığında, herhangi bir ekonomik mantık doğrulaması yapmadan doğrudan işlemi gerçekleştirmesi bulunmaktadır.
Bu olay, Cetus ekibinin birkaç alandaki eksikliklerini ortaya çıkardı:
Üçüncü taraf kütüphanelerinin güvenliğine yönelik kapsamlı bir değerlendirme eksikliği. Popüler açık kaynak kütüphanelerinin kullanılmış olmasına rağmen, büyük varlıkları yönetirken bu kütüphanenin güvenlik sınırlarını ve potansiyel risklerini yeterince anlamamışlardır.
Makul giriş kısıtlamalarının eksikliği. Merkeziyetsizlik DeFi'nin temel ilkesi olsa da, olgun finansal sistemlerin hâlâ belirgin sınırların belirlenmesine ihtiyacı vardır. Alışılmadık astronomik rakamların girmesine izin vermek, ekibin finansal risk yönetimine karşı duyarlılığının eksikliğini yansıtır.
Güvenlik denetimlerine aşırı bağımlılık. Birden fazla güvenlik denetimi, sorunları önceden tespit edemedi ve projenin güvenlik sorumluluğunu denetim şirketlerine aşırı şekilde devretme eğilimini ortaya koydu. Ancak, güvenlik denetimleri esasen kod açıklarına odaklanır ve matematik, kriptografi ve ekonomi gibi karmaşık sınırları kapsamakta zorluk çeker.
Bu vaka, DeFi sektöründe yaygın olarak bulunan sistematik güvenlik açıklarını vurgulamaktadır: Sadece teknik bir geçmişe sahip ekipler genellikle yeterli finansal risk bilincine sahip değildir. Cetus'un raporuna göre, ekip bu durumu henüz tam olarak kavrayamamış gibi görünüyor.
Cetus ve tüm DeFi sektörü için acil olan, saf teknik düşüncenin sınırlarını aşmak ve gerçek "finans mühendisleri" güvenlik risk farkındalığını geliştirmektir. Özellikle şu önlemler alınabilir: Finans risk yönetimi uzmanlarını dahil etmek, teknik ekibin bilgi boşluklarını kapatmak; sadece kod denetimine değil, ekonomik model denetimine de önem veren çok taraflı denetim mekanizmaları kurmak; "finans kokusu" geliştirmek, çeşitli saldırı senaryolarını simüle etmek ve buna karşılık gelen önlemleri belirlemek, anormal işlemlere karşı yüksek derecede dikkatli olmak.
Sektörün sürekli gelişimiyle birlikte, saf kod düzeyindeki teknik açıklar zamanla azalabilir, ancak iş mantığındaki "farkındalık açıkları" daha büyük bir zorluk haline gelecektir. Denetim şirketleri kodun hatasız olmasını sağlayabilir, ancak "mantığın sınırlarının belirlenmesi" projeyi yürüten ekibin işin doğasına daha derinlemesine bir anlayış ve kontrol yeteneğine sahip olmasını gerektirir.
Gelecekte, DeFi sektörünün liderleri yalnızca kod teknolojisinde yetkin olan değil, aynı zamanda iş mantığına derin bir anlayışa sahip olan ekipler olacaktır. Bu, disiplinler arası bilgi entegrasyonu ve sürekli güvenlik bilincinin artırılmasını gerektirir.