Giao thức Cetus gần đây đã phát hành một báo cáo an ninh về sự cố tấn công của hacker. Báo cáo này cung cấp thông tin chi tiết về các khía cạnh kỹ thuật và phản ứng khẩn cấp, được coi là một trường hợp điển hình. Tuy nhiên, khi giải thích nguyên nhân gốc rễ của cuộc tấn công, báo cáo lại tỏ ra giữ kín.
Báo cáo tập trung thảo luận về lỗi kiểm tra của hàm checked_shlw trong thư viện integer-mate, phân loại nó là "hiểu sai ngữ nghĩa". Mặc dù cách diễn đạt này có thể hợp lý ở cấp độ kỹ thuật, nhưng dường như có ý định chuyển trách nhiệm sang các yếu tố bên ngoài, ngụ ý rằng Cetus cũng là nạn nhân của khiếm khuyết kỹ thuật này.
Tuy nhiên, phân tích sâu sẽ phát hiện rằng sự thành công của cuộc tấn công của hacker cần phải đáp ứng đồng thời một số điều kiện then chốt: kiểm tra tràn lỗi sai, phép toán dịch lớn, quy tắc làm tròn lên, và thiếu xác minh tính hợp lý về kinh tế. Thật đáng ngạc nhiên, Cetus đã mắc phải sơ suất ở mỗi điểm kích hoạt, bao gồm việc chấp nhận đầu vào người dùng với giá trị cực lớn, sử dụng phép toán dịch lớn với rủi ro cao, quá phụ thuộc vào cơ chế kiểm tra của thư viện bên ngoài, và quan trọng nhất, khi hệ thống tính toán ra tỷ lệ trao đổi rõ ràng không hợp lý, lại không thực hiện bất kỳ xác minh nào về kiến thức kinh tế mà đã trực tiếp thực hiện thao tác.
Sự kiện này đã làm lộ ra những thiếu sót của đội ngũ Cetus ở một số khía cạnh:
Thiếu đánh giá toàn diện về tính bảo mật của thư viện bên thứ ba. Mặc dù đã sử dụng các thư viện mã nguồn mở phổ biến, nhưng khi quản lý khối tài sản khổng lồ, không thể hiểu đầy đủ các ranh giới bảo mật và rủi ro tiềm ẩn của thư viện đó.
Thiếu các giới hạn đầu vào hợp lý. Mặc dù phi tập trung là nguyên tắc cốt lõi của DeFi, nhưng các hệ thống tài chính trưởng thành vẫn cần có sự thiết lập ranh giới rõ ràng. Việc cho phép đầu vào các con số thiên văn không theo quy chuẩn phản ánh sự thiếu nhạy cảm của nhóm đối với quản lý rủi ro tài chính.
Lệ thuộc quá mức vào kiểm toán an ninh. Nhiều vòng kiểm toán an ninh không phát hiện vấn đề trước, phơi bày xu hướng của bên dự án có thể quá phụ thuộc vào các công ty kiểm toán về trách nhiệm an ninh. Tuy nhiên, kiểm toán an ninh chủ yếu tập trung vào các lỗ hổng mã, khó có thể bao quát các xác minh phức tạp vượt qua các ranh giới của toán học, mật mã và kinh tế.
Trường hợp này làm nổi bật điểm yếu an ninh hệ thống phổ biến trong ngành DeFi: các đội ngũ có nền tảng kỹ thuật thuần túy thường thiếu nhận thức về rủi ro tài chính đủ. Theo báo cáo của Cetus, đội ngũ dường như vẫn chưa nhận thức đầy đủ về điều này.
Đối với Cetus và toàn bộ ngành DeFi, ưu tiên hàng đầu là vượt qua những hạn chế của tư duy thuần túy kỹ thuật, nuôi dưỡng nhận thức về rủi ro an ninh của những "kỹ sư tài chính" thực sự. Các biện pháp cụ thể có thể bao gồm: thu hút các chuyên gia quản lý rủi ro tài chính, bù đắp cho những khoảng trống kiến thức của đội ngũ kỹ thuật; thiết lập cơ chế kiểm toán đa bên, không chỉ tập trung vào kiểm toán mã nguồn mà còn chú trọng đến kiểm toán mô hình kinh tế; nuôi dưỡng "khả năng nhạy bén tài chính", mô phỏng các kịch bản tấn công khác nhau và xây dựng các biện pháp ứng phó tương ứng, duy trì sự cảnh giác cao độ đối với các hoạt động bất thường.
Cùng với sự phát triển không ngừng của ngành, các lỗ hổng kỹ thuật thuần túy ở cấp độ mã có thể sẽ giảm dần, nhưng các "lỗ hổng nhận thức" trong logic kinh doanh sẽ trở thành thách thức lớn hơn. Các công ty kiểm toán có thể đảm bảo mã không có lỗi, nhưng làm thế nào để đảm bảo "logic có giới hạn" thì cần đội ngũ dự án có sự hiểu biết và khả năng kiểm soát sâu sắc hơn về bản chất kinh doanh.
Trong tương lai, những người dẫn đầu trong ngành DeFi sẽ là những đội ngũ không chỉ vững vàng về công nghệ mã hóa mà còn có sự hiểu biết sâu sắc về logic kinh doanh. Điều này cần sự kết hợp kiến thức đa lĩnh vực và nâng cao nhận thức về an ninh liên tục.
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
10 thích
Phần thưởng
10
8
Đăng lại
Chia sẻ
Bình luận
0/400
Ramen_Until_Rich
· 07-28 21:30
Lại là một bẫy an toàn chỉ tập trung vào công nghệ
Xem bản gốcTrả lời0
DancingCandles
· 07-28 18:44
Một lần nữa kiểm toán chưa được thực hiện đúng chỗ rồi~
Xem bản gốcTrả lời0
DegenWhisperer
· 07-28 14:37
Chỉ là một nạn nhân khác mà thôi.
Xem bản gốcTrả lời0
AirdropHunterZhang
· 07-28 09:22
又被 chơi đùa với mọi người một茬 看开了 电费都亏不起啦
Xem bản gốcTrả lời0
GasFeeWhisperer
· 07-25 22:21
Xem báo cáo như gãi ngứa, không chạm đúng chỗ nào.
Cetus Hacker sự kiện phục hồi: Ngành Tài chính phi tập trung cần gấp rút nâng cao nhận thức về an toàn kỹ thuật tài chính
Giao thức Cetus gần đây đã phát hành một báo cáo an ninh về sự cố tấn công của hacker. Báo cáo này cung cấp thông tin chi tiết về các khía cạnh kỹ thuật và phản ứng khẩn cấp, được coi là một trường hợp điển hình. Tuy nhiên, khi giải thích nguyên nhân gốc rễ của cuộc tấn công, báo cáo lại tỏ ra giữ kín.
Báo cáo tập trung thảo luận về lỗi kiểm tra của hàm checked_shlw trong thư viện integer-mate, phân loại nó là "hiểu sai ngữ nghĩa". Mặc dù cách diễn đạt này có thể hợp lý ở cấp độ kỹ thuật, nhưng dường như có ý định chuyển trách nhiệm sang các yếu tố bên ngoài, ngụ ý rằng Cetus cũng là nạn nhân của khiếm khuyết kỹ thuật này.
Tuy nhiên, phân tích sâu sẽ phát hiện rằng sự thành công của cuộc tấn công của hacker cần phải đáp ứng đồng thời một số điều kiện then chốt: kiểm tra tràn lỗi sai, phép toán dịch lớn, quy tắc làm tròn lên, và thiếu xác minh tính hợp lý về kinh tế. Thật đáng ngạc nhiên, Cetus đã mắc phải sơ suất ở mỗi điểm kích hoạt, bao gồm việc chấp nhận đầu vào người dùng với giá trị cực lớn, sử dụng phép toán dịch lớn với rủi ro cao, quá phụ thuộc vào cơ chế kiểm tra của thư viện bên ngoài, và quan trọng nhất, khi hệ thống tính toán ra tỷ lệ trao đổi rõ ràng không hợp lý, lại không thực hiện bất kỳ xác minh nào về kiến thức kinh tế mà đã trực tiếp thực hiện thao tác.
Sự kiện này đã làm lộ ra những thiếu sót của đội ngũ Cetus ở một số khía cạnh:
Thiếu đánh giá toàn diện về tính bảo mật của thư viện bên thứ ba. Mặc dù đã sử dụng các thư viện mã nguồn mở phổ biến, nhưng khi quản lý khối tài sản khổng lồ, không thể hiểu đầy đủ các ranh giới bảo mật và rủi ro tiềm ẩn của thư viện đó.
Thiếu các giới hạn đầu vào hợp lý. Mặc dù phi tập trung là nguyên tắc cốt lõi của DeFi, nhưng các hệ thống tài chính trưởng thành vẫn cần có sự thiết lập ranh giới rõ ràng. Việc cho phép đầu vào các con số thiên văn không theo quy chuẩn phản ánh sự thiếu nhạy cảm của nhóm đối với quản lý rủi ro tài chính.
Lệ thuộc quá mức vào kiểm toán an ninh. Nhiều vòng kiểm toán an ninh không phát hiện vấn đề trước, phơi bày xu hướng của bên dự án có thể quá phụ thuộc vào các công ty kiểm toán về trách nhiệm an ninh. Tuy nhiên, kiểm toán an ninh chủ yếu tập trung vào các lỗ hổng mã, khó có thể bao quát các xác minh phức tạp vượt qua các ranh giới của toán học, mật mã và kinh tế.
Trường hợp này làm nổi bật điểm yếu an ninh hệ thống phổ biến trong ngành DeFi: các đội ngũ có nền tảng kỹ thuật thuần túy thường thiếu nhận thức về rủi ro tài chính đủ. Theo báo cáo của Cetus, đội ngũ dường như vẫn chưa nhận thức đầy đủ về điều này.
Đối với Cetus và toàn bộ ngành DeFi, ưu tiên hàng đầu là vượt qua những hạn chế của tư duy thuần túy kỹ thuật, nuôi dưỡng nhận thức về rủi ro an ninh của những "kỹ sư tài chính" thực sự. Các biện pháp cụ thể có thể bao gồm: thu hút các chuyên gia quản lý rủi ro tài chính, bù đắp cho những khoảng trống kiến thức của đội ngũ kỹ thuật; thiết lập cơ chế kiểm toán đa bên, không chỉ tập trung vào kiểm toán mã nguồn mà còn chú trọng đến kiểm toán mô hình kinh tế; nuôi dưỡng "khả năng nhạy bén tài chính", mô phỏng các kịch bản tấn công khác nhau và xây dựng các biện pháp ứng phó tương ứng, duy trì sự cảnh giác cao độ đối với các hoạt động bất thường.
Cùng với sự phát triển không ngừng của ngành, các lỗ hổng kỹ thuật thuần túy ở cấp độ mã có thể sẽ giảm dần, nhưng các "lỗ hổng nhận thức" trong logic kinh doanh sẽ trở thành thách thức lớn hơn. Các công ty kiểm toán có thể đảm bảo mã không có lỗi, nhưng làm thế nào để đảm bảo "logic có giới hạn" thì cần đội ngũ dự án có sự hiểu biết và khả năng kiểm soát sâu sắc hơn về bản chất kinh doanh.
Trong tương lai, những người dẫn đầu trong ngành DeFi sẽ là những đội ngũ không chỉ vững vàng về công nghệ mã hóa mà còn có sự hiểu biết sâu sắc về logic kinh doanh. Điều này cần sự kết hợp kiến thức đa lĩnh vực và nâng cao nhận thức về an ninh liên tục.