Retour sur l'incident de hacking du protocole Cetus : un double défi technique et de gestion des risques financiers
Récemment, le protocole Cetus a subi une attaque de hacker, suscitant un large intérêt dans l'industrie. Dans le rapport de retour sur l'événement publié, nous pouvons observer un phénomène intéressant : le rapport décrit les détails techniques et les réponses d'urgence de manière assez transparente et professionnelle, mais il semble quelque peu réservé lorsqu'il s'agit d'expliquer la source de l'attaque.
Le rapport discute principalement des erreurs de vérification dans la fonction checked_shlw de la bibliothèque integer-mate, les attribuant à un "malentendu sémantique". Bien que cette formulation ne pose pas de problème technique, elle semble, de manière délibérée ou non, transférer la responsabilité à des facteurs externes.
Cependant, en analysant attentivement le chemin d'attaque du Hacker, nous constatons que la réussite de l'attaque nécessite de satisfaire simultanément quatre conditions : un contrôle de débordement erroné, des opérations de décalage massives, des règles d'arrondi et un manque de vérification de la rentabilité économique. Fait surprenant, Cetus a négligé chaque étape.
Il est d'autant plus préoccupant de se demander pourquoi une bibliothèque mathématique open source largement utilisée présente une vulnérabilité si grave dans l'application de Cetus. Pourquoi le système permet-il l'entrée de chiffres astronomiques aussi déraisonnables ? Pourquoi ces problèmes n'ont-ils pas été découverts après plusieurs audits de sécurité ?
Ces problèmes reflètent les lacunes de l'équipe Cetus dans les domaines suivants :
La sensibilisation à la sécurité de la chaîne d'approvisionnement est faible : bien que des bibliothèques open source et populaires aient été utilisées, il n'a pas été possible de comprendre pleinement leurs limites de sécurité et les risques potentiels.
Manque de professionnels en gestion des risques financiers : permettre l'entrée de chiffres astronomiques déraisonnables montre un manque de connaissances de base sur le système financier au sein de l'équipe.
Dépendance excessive aux audits de sécurité externes : déléguer entièrement la responsabilité de la sécurité à des sociétés d'audit, en négligeant ses propres responsabilités continues en matière de gestion de la sécurité.
Cet incident a révélé une lacune systémique de sécurité répandue dans l'industrie DeFi : de nombreuses équipes sont trop concentrées sur les aspects techniques, négligeant l'importance de la gestion des risques financiers.
Pour faire face à ces défis, les projets DeFi devraient :
Introduire des experts en gestion des risques financiers pour combler les lacunes de connaissances de l'équipe technique.
Établir un mécanisme d'audit multipartite, en se concentrant non seulement sur l'audit du code, mais aussi sur l'audit du modèle économique.
Développer un "sens financier", simuler divers scénarios d'attaque et élaborer des stratégies d'intervention correspondantes.
Avec le développement constant de l'industrie, les vulnérabilités pures au niveau du code pourraient progressivement diminuer, mais les "vulnérabilités de conscience" dans la logique métier deviendront un défi plus important. Les sociétés d'audit ne peuvent garantir qu'il n'y a pas de bugs dans le code, mais comment s'assurer que "la logique a des limites" nécessite une compréhension plus approfondie de l'essence des affaires et une capacité de contrôle plus forte de l'équipe de projet.
Dans l'avenir, le succès de l'industrie DeFi appartiendra à ceux qui ont non seulement de solides compétences techniques, mais aussi une compréhension approfondie de la logique commerciale. Ils doivent trouver un équilibre entre l'innovation technologique et la gestion des risques financiers pour construire un véritable écosystème financier décentralisé, sûr et fiable.
Cette page peut inclure du contenu de tiers fourni à des fins d'information uniquement. Gate ne garantit ni l'exactitude ni la validité de ces contenus, n’endosse pas les opinions exprimées, et ne fournit aucun conseil financier ou professionnel à travers ces informations. Voir la section Avertissement pour plus de détails.
14 J'aime
Récompense
14
6
Partager
Commentaire
0/400
0xLuckbox
· 07-21 21:11
Encore un projet qui se fait prendre pour des cons.
Voir l'originalRépondre0
BtcDailyResearcher
· 07-20 23:12
L'argent des jeunes est vraiment difficile à gagner.
Voir l'originalRépondre0
OneBlockAtATime
· 07-20 06:55
C'est à peu près du blanchiment de capitaux.
Voir l'originalRépondre0
LiquidationWatcher
· 07-20 06:55
Nouveau journal de récolte des pigeons
Voir l'originalRépondre0
ApyWhisperer
· 07-20 06:35
Encore un projet condamné
Voir l'originalRépondre0
MEVHunter
· 07-20 06:32
Tirer la racine de l'attaque ? Ce n'est pas juste le vieux truc de sniper et de marquer le mempool.
Le protocole Cetus a été attaqué par des hackers : la sécurité des projets DeFi nécessite une approche technique et financière.
Retour sur l'incident de hacking du protocole Cetus : un double défi technique et de gestion des risques financiers
Récemment, le protocole Cetus a subi une attaque de hacker, suscitant un large intérêt dans l'industrie. Dans le rapport de retour sur l'événement publié, nous pouvons observer un phénomène intéressant : le rapport décrit les détails techniques et les réponses d'urgence de manière assez transparente et professionnelle, mais il semble quelque peu réservé lorsqu'il s'agit d'expliquer la source de l'attaque.
Le rapport discute principalement des erreurs de vérification dans la fonction checked_shlw de la bibliothèque integer-mate, les attribuant à un "malentendu sémantique". Bien que cette formulation ne pose pas de problème technique, elle semble, de manière délibérée ou non, transférer la responsabilité à des facteurs externes.
Cependant, en analysant attentivement le chemin d'attaque du Hacker, nous constatons que la réussite de l'attaque nécessite de satisfaire simultanément quatre conditions : un contrôle de débordement erroné, des opérations de décalage massives, des règles d'arrondi et un manque de vérification de la rentabilité économique. Fait surprenant, Cetus a négligé chaque étape.
Il est d'autant plus préoccupant de se demander pourquoi une bibliothèque mathématique open source largement utilisée présente une vulnérabilité si grave dans l'application de Cetus. Pourquoi le système permet-il l'entrée de chiffres astronomiques aussi déraisonnables ? Pourquoi ces problèmes n'ont-ils pas été découverts après plusieurs audits de sécurité ?
Ces problèmes reflètent les lacunes de l'équipe Cetus dans les domaines suivants :
La sensibilisation à la sécurité de la chaîne d'approvisionnement est faible : bien que des bibliothèques open source et populaires aient été utilisées, il n'a pas été possible de comprendre pleinement leurs limites de sécurité et les risques potentiels.
Manque de professionnels en gestion des risques financiers : permettre l'entrée de chiffres astronomiques déraisonnables montre un manque de connaissances de base sur le système financier au sein de l'équipe.
Dépendance excessive aux audits de sécurité externes : déléguer entièrement la responsabilité de la sécurité à des sociétés d'audit, en négligeant ses propres responsabilités continues en matière de gestion de la sécurité.
Cet incident a révélé une lacune systémique de sécurité répandue dans l'industrie DeFi : de nombreuses équipes sont trop concentrées sur les aspects techniques, négligeant l'importance de la gestion des risques financiers.
Pour faire face à ces défis, les projets DeFi devraient :
Avec le développement constant de l'industrie, les vulnérabilités pures au niveau du code pourraient progressivement diminuer, mais les "vulnérabilités de conscience" dans la logique métier deviendront un défi plus important. Les sociétés d'audit ne peuvent garantir qu'il n'y a pas de bugs dans le code, mais comment s'assurer que "la logique a des limites" nécessite une compréhension plus approfondie de l'essence des affaires et une capacité de contrôle plus forte de l'équipe de projet.
Dans l'avenir, le succès de l'industrie DeFi appartiendra à ceux qui ont non seulement de solides compétences techniques, mais aussi une compréhension approfondie de la logique commerciale. Ils doivent trouver un équilibre entre l'innovation technologique et la gestion des risques financiers pour construire un véritable écosystème financier décentralisé, sûr et fiable.