Revisão do evento de hacking do protocolo Cetus: Desafio duplo em tecnologia e gestão de riscos financeiros
Recentemente, o protocolo Cetus foi alvo de um ataque de hacker, gerando ampla atenção na indústria. No relatório de revisão do evento publicado, podemos observar um fenômeno interessante: o relatório apresenta uma descrição bastante transparente e profissional dos detalhes técnicos e da resposta de emergência, mas ao explicar a origem do ataque, parece ser um pouco reservado.
O relatório discute principalmente o erro de verificação da função checked_shlw na biblioteca integer-mate, atribuindo-o a um "mal-entendido semântico". Embora essa afirmação não tenha problemas técnicos, parece transferir, intencionalmente ou não, a responsabilidade para fatores externos.
No entanto, ao analisar cuidadosamente o caminho de ataque do Hacker, descobrimos que para implementar com sucesso o ataque, é necessário satisfazer simultaneamente quatro condições: verificação de estouro incorreta, operações de deslocamento significativas, regras de arredondamento para cima e falta de verificação de viabilidade econômica. Surpreendentemente, a Cetus apresentou negligência em cada uma dessas etapas.
É ainda mais preocupante por que uma biblioteca matemática de código aberto amplamente utilizada tem uma vulnerabilidade tão grave na aplicação do Cetus? Por que o sistema permite a entrada de números astronômicos tão irracionais? Por que, após várias auditorias de segurança, esses problemas ainda não foram descobertos?
Estas questões refletem deficiências da equipe Cetus em vários aspectos:
Consciência de segurança da cadeia de suprimentos fraca: embora tenham sido usadas bibliotecas de código aberto e populares, não se conseguiu entender plenamente suas fronteiras de segurança e riscos potenciais.
Falta de profissionais especializados em gestão de riscos financeiros: permitir a entrada de números astronômicos irracionais, mostra a falta de conhecimento básico da equipe sobre o sistema financeiro.
Dependência excessiva de auditorias de segurança externas: delegar completamente a responsabilidade de segurança a empresas de auditoria ignora a responsabilidade contínua de gestão de segurança interna.
Este incidente expôs a deficiência sistêmica de segurança que existe amplamente na indústria DeFi: muitas equipes estão excessivamente focadas no aspecto técnico, ignorando a importância da gestão de riscos financeiros.
Para enfrentar esses desafios, os projetos DeFi devem:
Introduzir especialistas em risco financeiro para preencher as lacunas de conhecimento da equipe técnica.
Estabelecer um mecanismo de auditoria múltipla, não apenas focar na auditoria de código, mas também dar importância à auditoria do modelo econômico.
Desenvolver o "instinto financeiro", simular vários cenários de ataque e formular estratégias de resposta adequadas.
Com o constante desenvolvimento da indústria, as vulnerabilidades puramente a nível de código podem gradualmente diminuir, mas as "vulnerabilidades de consciência" na lógica de negócio representarão um desafio maior. As empresas de auditoria podem garantir que o código não tem bugs, mas como garantir que a "lógica tem limites" requer que a equipe do projeto tenha um entendimento mais profundo da essência do negócio e uma capacidade de controle mais forte.
No futuro, o sucesso da indústria DeFi pertencerá àqueles que não apenas têm forte capacidade técnica, mas também uma compreensão profunda da lógica de negócios. Eles precisam encontrar um equilíbrio entre inovação tecnológica e gestão de riscos financeiros, a fim de construir um verdadeiro ecossistema financeiro descentralizado que seja seguro e confiável.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
14 Curtidas
Recompensa
14
6
Compartilhar
Comentário
0/400
0xLuckbox
· 07-21 21:11
Outro projeto de fazer as pessoas de parvas foi destruído.
Ver originalResponder0
BtcDailyResearcher
· 07-20 23:12
É muito difícil ganhar dinheiro para os chives.
Ver originalResponder0
OneBlockAtATime
· 07-20 06:55
Quase lavando dinheiro, isso.
Ver originalResponder0
LiquidationWatcher
· 07-20 06:55
Diário de colheita de idiotas
Ver originalResponder0
ApyWhisperer
· 07-20 06:35
Outro projeto condenado
Ver originalResponder0
MEVHunter
· 07-20 06:32
Atacar a raiz? Não é apenas uma velha tática de sniper no mempool.
O protocolo Cetus foi atacado por hackers: a segurança dos projetos DeFi precisa de uma abordagem dupla em tecnologia e finanças.
Revisão do evento de hacking do protocolo Cetus: Desafio duplo em tecnologia e gestão de riscos financeiros
Recentemente, o protocolo Cetus foi alvo de um ataque de hacker, gerando ampla atenção na indústria. No relatório de revisão do evento publicado, podemos observar um fenômeno interessante: o relatório apresenta uma descrição bastante transparente e profissional dos detalhes técnicos e da resposta de emergência, mas ao explicar a origem do ataque, parece ser um pouco reservado.
O relatório discute principalmente o erro de verificação da função checked_shlw na biblioteca integer-mate, atribuindo-o a um "mal-entendido semântico". Embora essa afirmação não tenha problemas técnicos, parece transferir, intencionalmente ou não, a responsabilidade para fatores externos.
No entanto, ao analisar cuidadosamente o caminho de ataque do Hacker, descobrimos que para implementar com sucesso o ataque, é necessário satisfazer simultaneamente quatro condições: verificação de estouro incorreta, operações de deslocamento significativas, regras de arredondamento para cima e falta de verificação de viabilidade econômica. Surpreendentemente, a Cetus apresentou negligência em cada uma dessas etapas.
É ainda mais preocupante por que uma biblioteca matemática de código aberto amplamente utilizada tem uma vulnerabilidade tão grave na aplicação do Cetus? Por que o sistema permite a entrada de números astronômicos tão irracionais? Por que, após várias auditorias de segurança, esses problemas ainda não foram descobertos?
Estas questões refletem deficiências da equipe Cetus em vários aspectos:
Consciência de segurança da cadeia de suprimentos fraca: embora tenham sido usadas bibliotecas de código aberto e populares, não se conseguiu entender plenamente suas fronteiras de segurança e riscos potenciais.
Falta de profissionais especializados em gestão de riscos financeiros: permitir a entrada de números astronômicos irracionais, mostra a falta de conhecimento básico da equipe sobre o sistema financeiro.
Dependência excessiva de auditorias de segurança externas: delegar completamente a responsabilidade de segurança a empresas de auditoria ignora a responsabilidade contínua de gestão de segurança interna.
Este incidente expôs a deficiência sistêmica de segurança que existe amplamente na indústria DeFi: muitas equipes estão excessivamente focadas no aspecto técnico, ignorando a importância da gestão de riscos financeiros.
Para enfrentar esses desafios, os projetos DeFi devem:
Com o constante desenvolvimento da indústria, as vulnerabilidades puramente a nível de código podem gradualmente diminuir, mas as "vulnerabilidades de consciência" na lógica de negócio representarão um desafio maior. As empresas de auditoria podem garantir que o código não tem bugs, mas como garantir que a "lógica tem limites" requer que a equipe do projeto tenha um entendimento mais profundo da essência do negócio e uma capacidade de controle mais forte.
No futuro, o sucesso da indústria DeFi pertencerá àqueles que não apenas têm forte capacidade técnica, mas também uma compreensão profunda da lógica de negócios. Eles precisam encontrar um equilíbrio entre inovação tecnológica e gestão de riscos financeiros, a fim de construir um verdadeiro ecossistema financeiro descentralizado que seja seguro e confiável.