Протокол Cetus нещодавно опублікував звіт про безпеку щодо інциденту з хакерською атакою. Цей звіт містить детальну інформацію про технічні деталі та реакцію на надзвичайні ситуації, що робить його зразковим випадком. Однак, пояснюючи основні причини атаки, звіт виглядає дещо обережно.
Звіт зосереджується на обговоренні помилок перевірки функції checked_shlw в бібліотеці integer-mate, класифікуючи їх як "семантичне непорозуміння". Хоча таке формулювання може бути обґрунтованим з технічної точки зору, воно, здається, має на меті перекласти відповідальність на зовнішні фактори, натякаючи, що Cetus також є жертвою цього технічного дефекту.
Однак, глибокий аналіз виявляє, що успіх атаки хакера потребує одночасного виконання кількох ключових умов: помилкової перевірки переповнення, значних зсувів, правил округлення вгору та відсутності перевірки економічної доцільності. Дивно, але Cetus проігнорував кожну з цих точок тригера, включаючи прийняття великих значень користувацького вводу, використання ризикованих значних зсувів, надмірну залежність від механізмів перевірки зовнішніх бібліотек, і, що найголовніше, коли система розрахувала явно нерозумний обмінний курс, не було проведено жодної перевірки економічної доцільності перед безпосереднім виконанням операції.
Ця подія виявила недоліки команди Cetus у кількох аспектах:
Відсутність всебічної оцінки безпеки сторонніх бібліотек. Хоча використовуються популярні відкриті бібліотеки, при управлінні величезними активами не було достатньо зрозуміло, які межі безпеки та потенційні ризики має ця бібліотека.
Відсутність розумних обмежень на вхід. Хоча децентралізація є основною ідеєю DeFi, зрілі фінансові системи все ж потребують чітко визначених меж. Дозволяючи вводити нестандартні астрономічні числа, команда демонструє відсутність чутливості до управління фінансовими ризиками.
Надмірна залежність від безпекових аудитів. Багатократні безпекові аудити не змогли заздалегідь виявити проблеми, що виявляє схильність проекту надмірно делегувати відповідальність за безпеку аудиторським компаніям. Однак безпековий аудит в основному орієнтований на вразливості коду, і важко охопити складні межі валідації, що перетинають математику, криптографію та економіку.
Цей випадок підкреслює системні недоліки безпеки, які широко поширені в індустрії DeFi: команди з чисто технічним фоном зазвичай не мають достатньої фінансової обізнаності про ризики. З огляду на звіт Cetus, команда, здається, ще не усвідомила цього.
Для Cetus і всього DeFi-індустрії першочерговим завданням є подолання обмежень чисто технічного мислення та виховання справжньої свідомості безпеки ризиків "фінансових інженерів". Конкретні заходи можуть включати: залучення експертів з фінансового ризику для заповнення знаннях команди технічних спеціалістів; створення механізму багатостороннього аудиту, який зосереджує увагу не лише на аудиті коду, а й на аудиті економічних моделей; виховання "фінансового чуття", моделювання різних атакуючих сценаріїв та розробка відповідних заходів реагування, підтримка високої пильності щодо аномальних дій.
З розвитком галузі чисті технічні вразливості на рівні коду можуть поступово зменшитися, але "свідомісні вразливості" у бізнес-логіці стануть більшим викликом. Аудиторські компанії можуть забезпечити правильність коду, але для того, щоб забезпечити "логіку з межами", команді проєкту потрібно мати більш глибоке розуміння та контроль над сутністю бізнесу.
У майбутньому лідерами індустрії DeFi стануть ті команди, які не лише добре володіють кодовими технологіями, але й мають глибоке розуміння бізнес-логіки. Це вимагає інтеграції знань з різних галузей та постійного підвищення обізнаності про безпеку.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
10 лайків
Нагородити
10
8
Репост
Поділіться
Прокоментувати
0/400
Ramen_Until_Rich
· 07-28 21:30
Знову чисто технологічна пастка для безпеки
Переглянути оригіналвідповісти на0
DancingCandles
· 07-28 18:44
Знову аудит не встигли провести~
Переглянути оригіналвідповісти на0
DegenWhisperer
· 07-28 14:37
Ще одна жертва.
Переглянути оригіналвідповісти на0
AirdropHunterZhang
· 07-28 09:22
Знову обдурювали людей, як лохів. Стався до цього легше, навіть за електрику не вистачає.
Переглянути оригіналвідповісти на0
GasFeeWhisperer
· 07-25 22:21
Дивитися звіт, як почухати свербіж, не потрапляє в ціль.
Огляд події з хакером Cetus: Децентралізовані фінанси потребують термінового виховання свідомості про безпеку фінансового інженерії
Протокол Cetus нещодавно опублікував звіт про безпеку щодо інциденту з хакерською атакою. Цей звіт містить детальну інформацію про технічні деталі та реакцію на надзвичайні ситуації, що робить його зразковим випадком. Однак, пояснюючи основні причини атаки, звіт виглядає дещо обережно.
Звіт зосереджується на обговоренні помилок перевірки функції checked_shlw в бібліотеці integer-mate, класифікуючи їх як "семантичне непорозуміння". Хоча таке формулювання може бути обґрунтованим з технічної точки зору, воно, здається, має на меті перекласти відповідальність на зовнішні фактори, натякаючи, що Cetus також є жертвою цього технічного дефекту.
Однак, глибокий аналіз виявляє, що успіх атаки хакера потребує одночасного виконання кількох ключових умов: помилкової перевірки переповнення, значних зсувів, правил округлення вгору та відсутності перевірки економічної доцільності. Дивно, але Cetus проігнорував кожну з цих точок тригера, включаючи прийняття великих значень користувацького вводу, використання ризикованих значних зсувів, надмірну залежність від механізмів перевірки зовнішніх бібліотек, і, що найголовніше, коли система розрахувала явно нерозумний обмінний курс, не було проведено жодної перевірки економічної доцільності перед безпосереднім виконанням операції.
Ця подія виявила недоліки команди Cetus у кількох аспектах:
Відсутність всебічної оцінки безпеки сторонніх бібліотек. Хоча використовуються популярні відкриті бібліотеки, при управлінні величезними активами не було достатньо зрозуміло, які межі безпеки та потенційні ризики має ця бібліотека.
Відсутність розумних обмежень на вхід. Хоча децентралізація є основною ідеєю DeFi, зрілі фінансові системи все ж потребують чітко визначених меж. Дозволяючи вводити нестандартні астрономічні числа, команда демонструє відсутність чутливості до управління фінансовими ризиками.
Надмірна залежність від безпекових аудитів. Багатократні безпекові аудити не змогли заздалегідь виявити проблеми, що виявляє схильність проекту надмірно делегувати відповідальність за безпеку аудиторським компаніям. Однак безпековий аудит в основному орієнтований на вразливості коду, і важко охопити складні межі валідації, що перетинають математику, криптографію та економіку.
Цей випадок підкреслює системні недоліки безпеки, які широко поширені в індустрії DeFi: команди з чисто технічним фоном зазвичай не мають достатньої фінансової обізнаності про ризики. З огляду на звіт Cetus, команда, здається, ще не усвідомила цього.
Для Cetus і всього DeFi-індустрії першочерговим завданням є подолання обмежень чисто технічного мислення та виховання справжньої свідомості безпеки ризиків "фінансових інженерів". Конкретні заходи можуть включати: залучення експертів з фінансового ризику для заповнення знаннях команди технічних спеціалістів; створення механізму багатостороннього аудиту, який зосереджує увагу не лише на аудиті коду, а й на аудиті економічних моделей; виховання "фінансового чуття", моделювання різних атакуючих сценаріїв та розробка відповідних заходів реагування, підтримка високої пильності щодо аномальних дій.
З розвитком галузі чисті технічні вразливості на рівні коду можуть поступово зменшитися, але "свідомісні вразливості" у бізнес-логіці стануть більшим викликом. Аудиторські компанії можуть забезпечити правильність коду, але для того, щоб забезпечити "логіку з межами", команді проєкту потрібно мати більш глибоке розуміння та контроль над сутністю бізнесу.
У майбутньому лідерами індустрії DeFi стануть ті команди, які не лише добре володіють кодовими технологіями, але й мають глибоке розуміння бізнес-логіки. Це вимагає інтеграції знань з різних галузей та постійного підвищення обізнаності про безпеку.