Анализ инцидента с хакерами протокола Cetus: двойные вызовы технологий и финансового риск-менеджмента
В последнее время протокол Cetus подвергся атаке хакера, что вызвало широкий интерес в отрасли. В опубликованном отчете о событии можно увидеть интересный феномен: отчет довольно прозрачно и профессионально описывает технические детали и меры реагирования, но при объяснении корней атаки кажется сдержанным.
Доклад в основном обсуждает ошибки проверки функции checked_shlw в библиотеке integer-mate, связывая их с "семантическим недоразумением". Хотя такое выражение технически не вызывает проблем, оно, казалось бы, намеренно или невольное переносит ответственность на внешние факторы.
Однако, при тщательном анализе пути атаки Хакера, мы обнаружили, что успешная реализация атаки требует одновременного выполнения четырех условий: неправильная проверка переполнения, значительные операции сдвига, правила округления вверх и отсутствие проверки экономической целесообразности. Удивительно, но Cetus допустил упущения на каждом из этих этапов.
Более всего стоит задуматься над тем, почему широко используемая библиотека математических функций с открытым исходным кодом вызывает такие серьезные уязвимости в приложении Cetus? Почему система позволяет вводить такие неразумные астрономические числа? Почему после многократных проверок безопасности эти проблемы все еще не были обнаружены?
Эти проблемы отражают недостатки команды Cetus в следующих аспектах:
Слабая осведомленность о безопасности цепочки поставок: хотя использовались популярные и открытые библиотеки, не удалось в полной мере понять их границы безопасности и потенциальные риски.
Нехватка специалистов в области управления финансовыми рисками: допускаются неразумные астрономические цифры, что показывает недостаток базовых знаний команды о финансовой системе.
Чрезмерная зависимость от внешних аудитов безопасности: полная передача ответственности за безопасность аудиторским компаниям игнорирует собственные обязанности по постоянному управлению безопасностью.
Этот инцидент выявил системные недостатки в безопасности, которые широко распространены в индустрии DeFi: многие команды слишком сосредоточены на техническом аспекте и игнорируют важность управления финансовыми рисками.
Чтобы справиться с этими вызовами, проектам DeFi следует:
Ввести экспертов по финансовому риску, чтобы восполнить пробелы в знаниях технической команды.
Создание многостороннего механизма аудита, который не только сосредоточен на аудите кода, но и придает важное значение аудиту экономической модели.
Развивайте "финансовое чутье", моделируйте различные сценарии атак и разрабатывайте соответствующие стратегии реагирования.
С развитием отрасли чисто кодовые уязвимости могут постепенно уменьшаться, но "осознательные уязвимости" в бизнес-логике станут более серьезной проблемой. Аудиторские компании могут гарантировать, что в коде нет ошибок, но как обеспечить, что "логика имеет границы", требует от проектной команды более глубокого понимания сущности бизнеса и более сильных управленческих навыков.
В будущем успех отрасли DeFi будет принадлежать тем командам, которые не только обладают крепкими техническими навыками, но и глубоко понимают бизнес-логику. Им необходимо найти баланс между технологическими инновациями и финансовым контролем рисков, чтобы создать действительно безопасную и надежную экосистему децентрализованных финансов.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
14 Лайков
Награда
14
6
Поделиться
комментарий
0/400
0xLuckbox
· 07-21 21:11
Еще один проект, который будут играть для лохов, развалился.
Посмотреть ОригиналОтветить0
BtcDailyResearcher
· 07-20 23:12
Деньги для джовов действительно трудно заработать.
Посмотреть ОригиналОтветить0
OneBlockAtATime
· 07-20 06:55
差不多Отмывание денег了这是
Посмотреть ОригиналОтветить0
LiquidationWatcher
· 07-20 06:55
Новый дневник неудачников
Посмотреть ОригиналОтветить0
ApyWhisperer
· 07-20 06:35
Еще один проект обречен.
Посмотреть ОригиналОтветить0
MEVHunter
· 07-20 06:32
Тянуть корень атаки? Это ведь старая схема, когда мемпул обстреливает точки.
Cetus Протокол遭Хакер攻击:Децентрализованные финансы项目安全需技术与金融双管齐下
Анализ инцидента с хакерами протокола Cetus: двойные вызовы технологий и финансового риск-менеджмента
В последнее время протокол Cetus подвергся атаке хакера, что вызвало широкий интерес в отрасли. В опубликованном отчете о событии можно увидеть интересный феномен: отчет довольно прозрачно и профессионально описывает технические детали и меры реагирования, но при объяснении корней атаки кажется сдержанным.
Доклад в основном обсуждает ошибки проверки функции checked_shlw в библиотеке integer-mate, связывая их с "семантическим недоразумением". Хотя такое выражение технически не вызывает проблем, оно, казалось бы, намеренно или невольное переносит ответственность на внешние факторы.
Однако, при тщательном анализе пути атаки Хакера, мы обнаружили, что успешная реализация атаки требует одновременного выполнения четырех условий: неправильная проверка переполнения, значительные операции сдвига, правила округления вверх и отсутствие проверки экономической целесообразности. Удивительно, но Cetus допустил упущения на каждом из этих этапов.
Более всего стоит задуматься над тем, почему широко используемая библиотека математических функций с открытым исходным кодом вызывает такие серьезные уязвимости в приложении Cetus? Почему система позволяет вводить такие неразумные астрономические числа? Почему после многократных проверок безопасности эти проблемы все еще не были обнаружены?
Эти проблемы отражают недостатки команды Cetus в следующих аспектах:
Слабая осведомленность о безопасности цепочки поставок: хотя использовались популярные и открытые библиотеки, не удалось в полной мере понять их границы безопасности и потенциальные риски.
Нехватка специалистов в области управления финансовыми рисками: допускаются неразумные астрономические цифры, что показывает недостаток базовых знаний команды о финансовой системе.
Чрезмерная зависимость от внешних аудитов безопасности: полная передача ответственности за безопасность аудиторским компаниям игнорирует собственные обязанности по постоянному управлению безопасностью.
Этот инцидент выявил системные недостатки в безопасности, которые широко распространены в индустрии DeFi: многие команды слишком сосредоточены на техническом аспекте и игнорируют важность управления финансовыми рисками.
Чтобы справиться с этими вызовами, проектам DeFi следует:
С развитием отрасли чисто кодовые уязвимости могут постепенно уменьшаться, но "осознательные уязвимости" в бизнес-логике станут более серьезной проблемой. Аудиторские компании могут гарантировать, что в коде нет ошибок, но как обеспечить, что "логика имеет границы", требует от проектной команды более глубокого понимания сущности бизнеса и более сильных управленческих навыков.
В будущем успех отрасли DeFi будет принадлежать тем командам, которые не только обладают крепкими техническими навыками, но и глубоко понимают бизнес-логику. Им необходимо найти баланс между технологическими инновациями и финансовым контролем рисков, чтобы создать действительно безопасную и надежную экосистему децентрализованных финансов.