مؤخراً، تعرض بروتوكول Cetus لهجوم هاكر، مما أثار اهتماماً واسعاً في الصناعة. في تقرير مراجعة الأحداث الذي تم نشره، يمكننا أن نرى ظاهرة مثيرة للاهتمام: التقرير يصف التفاصيل التقنية واستجابة الطوارئ بشكل شفاف ومحترف، لكنه يبدو أنه متحفظ عند تفسير جذور الهجوم.
تركز التقرير على مناقشة أخطاء الفحص في دالة checked_shlw من مكتبة integer-mate، ونسبتها إلى "سوء فهم دلالي". على الرغم من أن هذه العبارة ليست مشكلة من الناحية التقنية، إلا أنها تبدو وكأنها تنقل المسؤولية عن عمد أو عن غير عمد إلى عوامل خارجية.
ومع ذلك، من خلال تحليل دقيق لمسار هجمات الهاكر، نجد أن تنفيذ الهجمات بنجاح يتطلب تلبية أربعة شروط في نفس الوقت: فحص تجاوز خطأ، عمليات إزاحة كبيرة، قاعدة التقريب للأعلى، ونقص في التحقق من الجدوى الاقتصادية. ومن المدهش أن Cetus قد أهملت في كل مرحلة من هذه المراحل.
ما يستحق التأمل أكثر هو لماذا ظهرت ثغرة خطيرة في تطبيق Cetus من مكتبة رياضية مفتوحة المصدر مستخدمة على نطاق واسع؟ لماذا يسمح النظام بإدخال أرقام فلكية غير معقولة؟ لماذا لم يتم اكتشاف هذه المشاكل بعد عدة جولات من التدقيق الأمني؟
تظهر هذه المشاكل أن فريق Cetus لديه قصور في عدة مجالات:
ضعف الوعي بأمان سلسلة التوريد: على الرغم من استخدام مكتبات مفتوحة المصدر وشائعة، إلا أنه لم يتم فهم حدود أمانها والمخاطر المحتملة بشكل كاف.
نقص في المتخصصين في إدارة المخاطر المالية: السماح بإدخال أرقام فلكية غير معقولة، مما يظهر افتقار الفريق إلى المعرفة الأساسية بنظام المالية.
الاعتماد المفرط على تدقيق الأمان الخارجي: تفويض المسؤولية الأمنية بالكامل لشركات التدقيق، مما يتجاهل المسؤوليات المستمرة للإدارة الأمنية الخاصة بها.
كشفت هذه الحادثة عن وجود ثغرات أمنية نظامية شائعة في صناعة DeFi: حيث تركز العديد من الفرق بشكل مفرط على الجوانب التقنية، متجاهلة أهمية إدارة المخاطر المالية.
لمواجهة هذه التحديات، ينبغي لمشاريع DeFi أن:
استقدام خبراء في إدارة المخاطر المالية لسد ثغرات المعرفة في فريق التقنية.
إنشاء آلية تدقيق متعددة الأطراف، لا تركز فقط على تدقيق الشيفرة، بل يجب أيضًا إيلاء أهمية لتدقيق نموذج الاقتصاد.
تطوير "حس المال"، محاكاة سيناريوهات الهجوم المختلفة ووضع استراتيجيات استجابة مناسبة.
مع استمرار تطور الصناعة، قد تتناقص الثغرات على مستوى الكود الخالص، ولكن ستصبح "ثغرات الوعي" في منطق الأعمال تحديًا أكبر. يمكن لشركات التدقيق ضمان عدم وجود أخطاء في الكود، ولكن كيفية ضمان "وجود حدود للمنطق" تتطلب من فريق المشروع فهمًا أعمق لطبيعة الأعمال وقدرة أكبر على التحكم.
في المستقبل، سيعود نجاح صناعة DeFi إلى الفرق التي لا تتمتع فقط بقوة تقنية عالية، ولكن لديها أيضًا فهم عميق للمنطق التجاري. يحتاجون إلى إيجاد توازن بين الابتكار التكنولوجي وإدارة المخاطر المالية من أجل بناء نظام بيئي مالي لامركزي آمن وموثوق حقًا.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 14
أعجبني
14
6
مشاركة
تعليق
0/400
0xLuckbox
· 07-21 21:11
又一个 يُستغل بغباء. مشروع干碎了
شاهد النسخة الأصليةرد0
BtcDailyResearcher
· 07-20 23:12
من الصعب كسب أموال الجيوجي.
شاهد النسخة الأصليةرد0
OneBlockAtATime
· 07-20 06:55
差不多 غسيل الأموال 了这是
شاهد النسخة الأصليةرد0
LiquidationWatcher
· 07-20 06:55
يوميات حصاد الحمقى الجديدة
شاهد النسخة الأصليةرد0
ApyWhisperer
· 07-20 06:35
محكوم مشروع آخر
شاهد النسخة الأصليةرد0
MEVHunter
· 07-20 06:32
هل من الجيد الاقتراب من مصدر الهجوم؟ إنه مجرد أسلوب قديم لاستهداف mempool.
تعرض بروتوكول Cetus لهجوم هاكر: تحتاج مشاريع التمويل اللامركزي إلى مزيج من التقنية والتمويل لضمان الأمان
مراجعة حادثة هاكر بروتوكول سيتوس: التحديات المزدوجة للتكنولوجيا وإدارة المخاطر المالية
مؤخراً، تعرض بروتوكول Cetus لهجوم هاكر، مما أثار اهتماماً واسعاً في الصناعة. في تقرير مراجعة الأحداث الذي تم نشره، يمكننا أن نرى ظاهرة مثيرة للاهتمام: التقرير يصف التفاصيل التقنية واستجابة الطوارئ بشكل شفاف ومحترف، لكنه يبدو أنه متحفظ عند تفسير جذور الهجوم.
تركز التقرير على مناقشة أخطاء الفحص في دالة checked_shlw من مكتبة integer-mate، ونسبتها إلى "سوء فهم دلالي". على الرغم من أن هذه العبارة ليست مشكلة من الناحية التقنية، إلا أنها تبدو وكأنها تنقل المسؤولية عن عمد أو عن غير عمد إلى عوامل خارجية.
ومع ذلك، من خلال تحليل دقيق لمسار هجمات الهاكر، نجد أن تنفيذ الهجمات بنجاح يتطلب تلبية أربعة شروط في نفس الوقت: فحص تجاوز خطأ، عمليات إزاحة كبيرة، قاعدة التقريب للأعلى، ونقص في التحقق من الجدوى الاقتصادية. ومن المدهش أن Cetus قد أهملت في كل مرحلة من هذه المراحل.
ما يستحق التأمل أكثر هو لماذا ظهرت ثغرة خطيرة في تطبيق Cetus من مكتبة رياضية مفتوحة المصدر مستخدمة على نطاق واسع؟ لماذا يسمح النظام بإدخال أرقام فلكية غير معقولة؟ لماذا لم يتم اكتشاف هذه المشاكل بعد عدة جولات من التدقيق الأمني؟
تظهر هذه المشاكل أن فريق Cetus لديه قصور في عدة مجالات:
ضعف الوعي بأمان سلسلة التوريد: على الرغم من استخدام مكتبات مفتوحة المصدر وشائعة، إلا أنه لم يتم فهم حدود أمانها والمخاطر المحتملة بشكل كاف.
نقص في المتخصصين في إدارة المخاطر المالية: السماح بإدخال أرقام فلكية غير معقولة، مما يظهر افتقار الفريق إلى المعرفة الأساسية بنظام المالية.
الاعتماد المفرط على تدقيق الأمان الخارجي: تفويض المسؤولية الأمنية بالكامل لشركات التدقيق، مما يتجاهل المسؤوليات المستمرة للإدارة الأمنية الخاصة بها.
كشفت هذه الحادثة عن وجود ثغرات أمنية نظامية شائعة في صناعة DeFi: حيث تركز العديد من الفرق بشكل مفرط على الجوانب التقنية، متجاهلة أهمية إدارة المخاطر المالية.
لمواجهة هذه التحديات، ينبغي لمشاريع DeFi أن:
مع استمرار تطور الصناعة، قد تتناقص الثغرات على مستوى الكود الخالص، ولكن ستصبح "ثغرات الوعي" في منطق الأعمال تحديًا أكبر. يمكن لشركات التدقيق ضمان عدم وجود أخطاء في الكود، ولكن كيفية ضمان "وجود حدود للمنطق" تتطلب من فريق المشروع فهمًا أعمق لطبيعة الأعمال وقدرة أكبر على التحكم.
في المستقبل، سيعود نجاح صناعة DeFi إلى الفرق التي لا تتمتع فقط بقوة تقنية عالية، ولكن لديها أيضًا فهم عميق للمنطق التجاري. يحتاجون إلى إيجاد توازن بين الابتكار التكنولوجي وإدارة المخاطر المالية من أجل بناء نظام بيئي مالي لامركزي آمن وموثوق حقًا.