El protocolo Cetus fue atacado por un hacker: la seguridad de los proyectos de Finanzas descentralizadas necesita un enfoque dual en tecnología y finanzas.
Revisión del incidente del hacker del protocolo Cetus: Doble desafío en tecnología y gestión de riesgos financieros
Recientemente, el protocolo Cetus fue objeto de un ataque de Hacker, lo que generó una amplia atención en la industria. En el informe de revisión del evento que publicaron, podemos observar un fenómeno interesante: la descripción de los detalles técnicos y la respuesta de emergencia es bastante transparente y profesional, pero al explicar la raíz del ataque, parece haber cierta reserva.
El informe se centra en discutir el error de verificación en la función checked_shlw de la biblioteca integer-mate, atribuyéndolo a un "malentendido semántico". Aunque esta formulación no tiene problemas técnicos, parece que de manera intencionada o no, se está desviando la responsabilidad hacia factores externos.
Sin embargo, al analizar detenidamente la ruta de ataque del Hacker, descubrimos que para llevar a cabo un ataque exitoso se deben cumplir simultáneamente cuatro condiciones: verificación de desbordamiento incorrecta, operaciones de desplazamiento en gran medida, reglas de redondeo hacia arriba y falta de verificación de razonabilidad económica. Sorprendentemente, Cetus mostró negligencia en cada uno de estos aspectos.
Es aún más digno de reflexión, ¿por qué una biblioteca matemática de código abierto ampliamente utilizada presenta una vulnerabilidad tan grave en la aplicación de Cetus? ¿Por qué el sistema permite la entrada de números astronómicos tan irracionales? ¿Por qué, después de múltiples auditorías de seguridad, estos problemas aún no han sido detectados?
Estas cuestiones reflejan que el equipo de Cetus tiene deficiencias en los siguientes aspectos:
Conciencia de seguridad de la cadena de suministro débil: aunque se utilizaron bibliotecas de código abierto y populares, no se comprendieron adecuadamente sus límites de seguridad y riesgos potenciales.
Falta de profesionales especializados en gestión de riesgos financieros: permitir la entrada de cifras astronómicas irracionales muestra la falta de conocimientos básicos del equipo sobre el sistema financiero.
Dependencia excesiva de auditorías de seguridad externas: externalizar completamente la responsabilidad de seguridad a la empresa auditora, ignorando la responsabilidad continua de gestión de seguridad por parte de uno mismo.
Este incidente expuso las deficiencias de seguridad sistémica que existen comúnmente en la industria DeFi: muchos equipos se centran demasiado en el aspecto técnico y descuidan la importancia de la gestión de riesgos financieros.
Para enfrentar estos desafíos, los proyectos DeFi deberían:
Introducir expertos en gestión de riesgos financieros para cubrir las lagunas de conocimiento del equipo técnico.
Establecer un mecanismo de auditoría múltiple que no solo se enfoque en la auditoría del código, sino que también dé importancia a la auditoría del modelo económico.
Desarrollar el "olfato financiero", simular varios escenarios de ataque y formular estrategias de respuesta correspondientes.
A medida que la industria sigue desarrollándose, las vulnerabilidades puramente en el nivel de código pueden ir disminuyendo, pero las "vulnerabilidades de conciencia" en la lógica del negocio se convertirán en un desafío mayor. Las empresas de auditoría solo pueden garantizar que el código no tenga errores, pero cómo asegurar que "la lógica tenga límites" requiere que el equipo del proyecto tenga una comprensión más profunda de la naturaleza del negocio y una mayor capacidad de control.
En el futuro, el éxito de la industria DeFi pertenecerá a aquellos equipos que no solo tengan una sólida capacidad técnica, sino que también tengan una comprensión profunda de la lógica empresarial. Necesitan encontrar un equilibrio entre la innovación técnica y el control de riesgos financieros para construir un ecosistema financiero descentralizado verdaderamente seguro y confiable.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
14 me gusta
Recompensa
14
6
Compartir
Comentar
0/400
0xLuckbox
· 07-21 21:11
Otro proyecto de Ser engañados se ha hecho añicos.
Ver originalesResponder0
BtcDailyResearcher
· 07-20 23:12
Es realmente difícil ganar el dinero de los chavales.
Ver originalesResponder0
OneBlockAtATime
· 07-20 06:55
Casi blanqueo de capital esto es
Ver originalesResponder0
LiquidationWatcher
· 07-20 06:55
Nuevo diario de la cosecha de tontos
Ver originalesResponder0
ApyWhisperer
· 07-20 06:35
Otro proyecto condenado.
Ver originalesResponder0
MEVHunter
· 07-20 06:32
¿Atacar la raíz del problema? No es más que la vieja trampa de apuntar y disparar en el mempool.
El protocolo Cetus fue atacado por un hacker: la seguridad de los proyectos de Finanzas descentralizadas necesita un enfoque dual en tecnología y finanzas.
Revisión del incidente del hacker del protocolo Cetus: Doble desafío en tecnología y gestión de riesgos financieros
Recientemente, el protocolo Cetus fue objeto de un ataque de Hacker, lo que generó una amplia atención en la industria. En el informe de revisión del evento que publicaron, podemos observar un fenómeno interesante: la descripción de los detalles técnicos y la respuesta de emergencia es bastante transparente y profesional, pero al explicar la raíz del ataque, parece haber cierta reserva.
El informe se centra en discutir el error de verificación en la función checked_shlw de la biblioteca integer-mate, atribuyéndolo a un "malentendido semántico". Aunque esta formulación no tiene problemas técnicos, parece que de manera intencionada o no, se está desviando la responsabilidad hacia factores externos.
Sin embargo, al analizar detenidamente la ruta de ataque del Hacker, descubrimos que para llevar a cabo un ataque exitoso se deben cumplir simultáneamente cuatro condiciones: verificación de desbordamiento incorrecta, operaciones de desplazamiento en gran medida, reglas de redondeo hacia arriba y falta de verificación de razonabilidad económica. Sorprendentemente, Cetus mostró negligencia en cada uno de estos aspectos.
Es aún más digno de reflexión, ¿por qué una biblioteca matemática de código abierto ampliamente utilizada presenta una vulnerabilidad tan grave en la aplicación de Cetus? ¿Por qué el sistema permite la entrada de números astronómicos tan irracionales? ¿Por qué, después de múltiples auditorías de seguridad, estos problemas aún no han sido detectados?
Estas cuestiones reflejan que el equipo de Cetus tiene deficiencias en los siguientes aspectos:
Conciencia de seguridad de la cadena de suministro débil: aunque se utilizaron bibliotecas de código abierto y populares, no se comprendieron adecuadamente sus límites de seguridad y riesgos potenciales.
Falta de profesionales especializados en gestión de riesgos financieros: permitir la entrada de cifras astronómicas irracionales muestra la falta de conocimientos básicos del equipo sobre el sistema financiero.
Dependencia excesiva de auditorías de seguridad externas: externalizar completamente la responsabilidad de seguridad a la empresa auditora, ignorando la responsabilidad continua de gestión de seguridad por parte de uno mismo.
Este incidente expuso las deficiencias de seguridad sistémica que existen comúnmente en la industria DeFi: muchos equipos se centran demasiado en el aspecto técnico y descuidan la importancia de la gestión de riesgos financieros.
Para enfrentar estos desafíos, los proyectos DeFi deberían:
A medida que la industria sigue desarrollándose, las vulnerabilidades puramente en el nivel de código pueden ir disminuyendo, pero las "vulnerabilidades de conciencia" en la lógica del negocio se convertirán en un desafío mayor. Las empresas de auditoría solo pueden garantizar que el código no tenga errores, pero cómo asegurar que "la lógica tenga límites" requiere que el equipo del proyecto tenga una comprensión más profunda de la naturaleza del negocio y una mayor capacidad de control.
En el futuro, el éxito de la industria DeFi pertenecerá a aquellos equipos que no solo tengan una sólida capacidad técnica, sino que también tengan una comprensión profunda de la lógica empresarial. Necesitan encontrar un equilibrio entre la innovación técnica y el control de riesgos financieros para construir un ecosistema financiero descentralizado verdaderamente seguro y confiable.