Cetus protokol Hacker事件复盘:teknologi dan tantangan pengendalian risiko keuangan yang ganda
Baru-baru ini, protokol Cetus mengalami serangan Hacker, yang memicu perhatian luas di industri. Dalam laporan tinjauan kembali peristiwa yang dirilis, kita dapat melihat fenomena menarik: laporan tersebut menjelaskan detail teknis dan respons darurat dengan cukup transparan dan profesional, tetapi tampaknya agak berhati-hati dalam menjelaskan sumber serangan.
Laporan ini secara khusus membahas kesalahan pemeriksaan fungsi checked_shlw dalam pustaka integer-mate, yang dianggap sebagai "misinterpretasi semantik". Meskipun pernyataan ini secara teknis tidak bermasalah, tampaknya secara sengaja atau tidak sengaja mengalihkan tanggung jawab ke faktor eksternal.
Namun, setelah menganalisis jalur serangan Hacker dengan cermat, kami menemukan bahwa untuk berhasil melakukan serangan, empat kondisi harus terpenuhi secara bersamaan: pemeriksaan overflow yang salah, operasi pergeseran besar, aturan pembulatan ke atas, dan kurangnya verifikasi kelayakan ekonomi. Yang mengejutkan, Cetus telah lalai dalam setiap tahap ini.
Lebih patut dipikirkan adalah, mengapa sebuah pustaka matematika sumber terbuka yang banyak digunakan dapat menghasilkan celah yang begitu serius dalam aplikasi Cetus? Mengapa sistem membolehkan input angka astronomis yang tidak masuk akal? Mengapa setelah beberapa putaran audit keamanan, masalah ini masih belum terdeteksi?
Masalah-masalah ini mencerminkan kekurangan tim Cetus dalam beberapa aspek berikut:
Kesadaran keamanan rantai pasokan yang lemah: Meskipun menggunakan pustaka yang populer dan sumber terbuka, namun tidak mampu memahami batasan keamanan dan risiko potensialnya dengan baik.
Kurangnya tenaga profesional manajemen risiko keuangan: Mengizinkan input angka astronomis yang tidak masuk akal menunjukkan kurangnya pengetahuan dasar tim tentang sistem keuangan.
Ketergantungan berlebihan pada audit keamanan eksternal: menyerahkan tanggung jawab keamanan sepenuhnya kepada perusahaan audit, mengabaikan tanggung jawab manajemen keamanan yang berkelanjutan.
Kejadian ini mengungkapkan kelemahan keamanan sistemik yang umum terjadi di industri DeFi: Banyak tim terlalu fokus pada aspek teknis, sementara mengabaikan pentingnya manajemen risiko keuangan.
Untuk mengatasi tantangan ini, proyek DeFi harus:
Menghadirkan ahli risiko keuangan untuk mengisi kekurangan pengetahuan tim teknis.
Membangun mekanisme audit multi-pihak, tidak hanya memperhatikan audit kode, tetapi juga harus memperhatikan audit model ekonomi.
Mengembangkan "indera keuangan", mensimulasikan berbagai skenario serangan dan merumuskan strategi respons yang sesuai.
Seiring dengan perkembangan industri yang terus berlanjut, kerentanan murni di tingkat kode mungkin akan semakin berkurang, tetapi "kerentanan kesadaran" dalam logika bisnis akan menjadi tantangan yang lebih besar. Perusahaan audit hanya dapat menjamin bahwa kode bebas bug, tetapi bagaimana memastikan bahwa "logika memiliki batas" memerlukan tim proyek untuk memiliki pemahaman yang lebih mendalam tentang esensi bisnis dan kemampuan pengendalian yang lebih kuat.
Di masa depan, keberhasilan industri DeFi akan menjadi milik tim yang tidak hanya memiliki kemampuan teknis yang kuat, tetapi juga pemahaman mendalam tentang logika bisnis. Mereka perlu menemukan keseimbangan antara inovasi teknologi dan pengendalian risiko keuangan, agar dapat membangun ekosistem keuangan terdesentralisasi yang benar-benar aman dan dapat diandalkan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
6
Bagikan
Komentar
0/400
0xLuckbox
· 07-21 21:11
Sekali lagi proyek Dianggap Bodoh hancur.
Lihat AsliBalas0
BtcDailyResearcher
· 07-20 23:12
Uang para jiujiu benar-benar sulit didapat.
Lihat AsliBalas0
OneBlockAtATime
· 07-20 06:55
Hampir Pencucian Uang ini
Lihat AsliBalas0
LiquidationWatcher
· 07-20 06:55
Diari Pengumpulan Suckers Baru
Lihat AsliBalas0
ApyWhisperer
· 07-20 06:35
Lagi satu proyek doomed
Lihat AsliBalas0
MEVHunter
· 07-20 06:32
Menarik sumber serangan? Bukankah itu hanya trik lama untuk menyergap di mempool?
Protokol Cetus diserang oleh Hacker: Keamanan proyek Keuangan Desentralisasi memerlukan pendekatan teknis dan finansial secara bersamaan
Cetus protokol Hacker事件复盘:teknologi dan tantangan pengendalian risiko keuangan yang ganda
Baru-baru ini, protokol Cetus mengalami serangan Hacker, yang memicu perhatian luas di industri. Dalam laporan tinjauan kembali peristiwa yang dirilis, kita dapat melihat fenomena menarik: laporan tersebut menjelaskan detail teknis dan respons darurat dengan cukup transparan dan profesional, tetapi tampaknya agak berhati-hati dalam menjelaskan sumber serangan.
Laporan ini secara khusus membahas kesalahan pemeriksaan fungsi checked_shlw dalam pustaka integer-mate, yang dianggap sebagai "misinterpretasi semantik". Meskipun pernyataan ini secara teknis tidak bermasalah, tampaknya secara sengaja atau tidak sengaja mengalihkan tanggung jawab ke faktor eksternal.
Namun, setelah menganalisis jalur serangan Hacker dengan cermat, kami menemukan bahwa untuk berhasil melakukan serangan, empat kondisi harus terpenuhi secara bersamaan: pemeriksaan overflow yang salah, operasi pergeseran besar, aturan pembulatan ke atas, dan kurangnya verifikasi kelayakan ekonomi. Yang mengejutkan, Cetus telah lalai dalam setiap tahap ini.
Lebih patut dipikirkan adalah, mengapa sebuah pustaka matematika sumber terbuka yang banyak digunakan dapat menghasilkan celah yang begitu serius dalam aplikasi Cetus? Mengapa sistem membolehkan input angka astronomis yang tidak masuk akal? Mengapa setelah beberapa putaran audit keamanan, masalah ini masih belum terdeteksi?
Masalah-masalah ini mencerminkan kekurangan tim Cetus dalam beberapa aspek berikut:
Kesadaran keamanan rantai pasokan yang lemah: Meskipun menggunakan pustaka yang populer dan sumber terbuka, namun tidak mampu memahami batasan keamanan dan risiko potensialnya dengan baik.
Kurangnya tenaga profesional manajemen risiko keuangan: Mengizinkan input angka astronomis yang tidak masuk akal menunjukkan kurangnya pengetahuan dasar tim tentang sistem keuangan.
Ketergantungan berlebihan pada audit keamanan eksternal: menyerahkan tanggung jawab keamanan sepenuhnya kepada perusahaan audit, mengabaikan tanggung jawab manajemen keamanan yang berkelanjutan.
Kejadian ini mengungkapkan kelemahan keamanan sistemik yang umum terjadi di industri DeFi: Banyak tim terlalu fokus pada aspek teknis, sementara mengabaikan pentingnya manajemen risiko keuangan.
Untuk mengatasi tantangan ini, proyek DeFi harus:
Seiring dengan perkembangan industri yang terus berlanjut, kerentanan murni di tingkat kode mungkin akan semakin berkurang, tetapi "kerentanan kesadaran" dalam logika bisnis akan menjadi tantangan yang lebih besar. Perusahaan audit hanya dapat menjamin bahwa kode bebas bug, tetapi bagaimana memastikan bahwa "logika memiliki batas" memerlukan tim proyek untuk memiliki pemahaman yang lebih mendalam tentang esensi bisnis dan kemampuan pengendalian yang lebih kuat.
Di masa depan, keberhasilan industri DeFi akan menjadi milik tim yang tidak hanya memiliki kemampuan teknis yang kuat, tetapi juga pemahaman mendalam tentang logika bisnis. Mereka perlu menemukan keseimbangan antara inovasi teknologi dan pengendalian risiko keuangan, agar dapat membangun ekosistem keuangan terdesentralisasi yang benar-benar aman dan dapat diandalkan.