أصدر بروتوكول سيتوس مؤخرًا تقريرًا عن استجابة الأمان لهجوم هاكر، مما أثار متابعة واسعة في الصناعة. يكشف التقرير بالتفصيل عن التفاصيل الفنية وإجراءات الاستجابة الطارئة، ويعتبر على مستوى الكتاب المدرسي. ومع ذلك، عند شرح أسباب الهجوم، يبدو أن التقرير يتجنب النقاط الرئيسية، حيث يوجه التركيز نحو المسؤولية الخارجية.
تقرير يوضح بشكل أساسي وظيفة checked_shlw في مكتبة integer-mate لفحص الأخطاء، ويعتبرها "سوء فهم دلالي". على الرغم من أن هذا الوصف صحيح من الناحية التقنية، إلا أنه يتجنب بمهارة مسؤولية Cetus نفسها.
تحليل متعمق يكشف أن نجاح هاكر الهجوم يتطلب تلبية أربعة شروط في نفس الوقت: فحص الفائض الخاطئ، عمليات الإزاحة الكبيرة، قاعدة التقريب للأعلى، وغياب التحقق من الجدوى الاقتصادية. تظهر Cetus إهمالًا واضحًا في كل شرط من شروط التفعيل، مثل قبول إدخالات أرقام فلكية، استخدام عمليات إزاحة كبيرة خطرة، والثقة الكاملة في فحص المكتبات الخارجية، والأكثر فتكًا هو عدم إجراء أي فحص للمنطق الاقتصادي عند حساب النظام لنتائج غير معقولة ثم التنفيذ مباشرة.
هذا يكشف عن وجود مشكلات خطيرة لفريق Cetus في الجوانب التالية:
نقص الوعي بحماية سلسلة الإمداد. على الرغم من استخدام مكتبات مفتوحة المصدر الشائعة، إلا أنه لم يتم فهم حدود أمانها والمخاطر المحتملة بشكل كاف.
نقص في المواهب المدارة للمخاطر الذين يمتلكون حاسة مالية. يسمح بإدخال أرقام فلكية غير معقولة، مما يظهر ضعف فهم الفريق لحدود النظام المالي.
الاعتماد المفرط على تدقيق الأمان، مع تجاهل أهمية التحقق عبر الحدود التخصصية. تتضمن أمان DeFi الحديثة مجالات متعددة مثل الرياضيات، التشفير، والاقتصاد، والاعتماد فقط على تدقيق الشيفرة ليس كافيًا.
هذا يعكس الثغرات الأمنية النظامية الشائعة في صناعة DeFi: تفتقر الفرق التقنية عمومًا إلى الوعي الأساسي بمخاطر التمويل.
في المستقبل، تحتاج مشاريع DeFi إلى تغيير قيود التفكير الفني البحت، وتطوير الوعي بالأمان لدى "مهندسي التمويل" الحقيقيين. يمكن أن تشمل التدابير المحددة: استقدام خبراء إدارة المخاطر المالية، لسد الفجوات المعرفية في الفريق الفني؛ إنشاء آلية مراجعة تدقيق متعددة الأطراف، تشمل تدقيق الشيفرة والنماذج الاقتصادية؛ تطوير "حاسة التمويل"، ومحاكاة سيناريوهات الهجوم المختلفة ووضع تدابير للتعامل معها.
مع نضوج الصناعة بشكل متزايد، ستقل الثغرات التقنية على مستوى الكود تدريجياً، ولكن ستصبح "ثغرات الوعي" الناتجة عن عدم وضوح الحدود والمهام أكبر التحديات. يمكن لشركات التدقيق ضمان عدم وجود ثغرات في الكود، لكن كيفية تحقيق "وجود حدود للمنطق" تتطلب من فرق المشروع أن تتمتع بفهم أعمق وقدرة على السيطرة على جوهر الأعمال.
مستقبل DeFi ينتمي إلى الفرق التي لا تتمتع فقط بتقنية كود قوية، ولكن أيضًا بفهم عميق للمنطق التجاري. فقط من خلال إتقان المعرفة عبر المجالات يمكن أن تظل في وضع غير قابل للهزيمة في هذه الصناعة سريعة التطور.
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 9
أعجبني
9
5
مشاركة
تعليق
0/400
GateUser-beba108d
· 07-21 09:39
مرة أخرى هو يعتمد على التدقيق
شاهد النسخة الأصليةرد0
GasWrangler
· 07-21 09:33
من الناحية الفنية، فإن تدقيقات الأمان للهواة ليست مثالية
شاهد النسخة الأصليةرد0
MidnightSeller
· 07-21 09:19
إذا لم يكن لديك القدرة الأساسية فلا تلعب في الديفي.
تحليل هجوم هاكر على Cetus يكشف عن الثغرات النظامية في أمان صناعة التمويل اللامركزي
أصدر بروتوكول سيتوس مؤخرًا تقريرًا عن استجابة الأمان لهجوم هاكر، مما أثار متابعة واسعة في الصناعة. يكشف التقرير بالتفصيل عن التفاصيل الفنية وإجراءات الاستجابة الطارئة، ويعتبر على مستوى الكتاب المدرسي. ومع ذلك، عند شرح أسباب الهجوم، يبدو أن التقرير يتجنب النقاط الرئيسية، حيث يوجه التركيز نحو المسؤولية الخارجية.
تقرير يوضح بشكل أساسي وظيفة checked_shlw في مكتبة integer-mate لفحص الأخطاء، ويعتبرها "سوء فهم دلالي". على الرغم من أن هذا الوصف صحيح من الناحية التقنية، إلا أنه يتجنب بمهارة مسؤولية Cetus نفسها.
تحليل متعمق يكشف أن نجاح هاكر الهجوم يتطلب تلبية أربعة شروط في نفس الوقت: فحص الفائض الخاطئ، عمليات الإزاحة الكبيرة، قاعدة التقريب للأعلى، وغياب التحقق من الجدوى الاقتصادية. تظهر Cetus إهمالًا واضحًا في كل شرط من شروط التفعيل، مثل قبول إدخالات أرقام فلكية، استخدام عمليات إزاحة كبيرة خطرة، والثقة الكاملة في فحص المكتبات الخارجية، والأكثر فتكًا هو عدم إجراء أي فحص للمنطق الاقتصادي عند حساب النظام لنتائج غير معقولة ثم التنفيذ مباشرة.
هذا يكشف عن وجود مشكلات خطيرة لفريق Cetus في الجوانب التالية:
نقص الوعي بحماية سلسلة الإمداد. على الرغم من استخدام مكتبات مفتوحة المصدر الشائعة، إلا أنه لم يتم فهم حدود أمانها والمخاطر المحتملة بشكل كاف.
نقص في المواهب المدارة للمخاطر الذين يمتلكون حاسة مالية. يسمح بإدخال أرقام فلكية غير معقولة، مما يظهر ضعف فهم الفريق لحدود النظام المالي.
الاعتماد المفرط على تدقيق الأمان، مع تجاهل أهمية التحقق عبر الحدود التخصصية. تتضمن أمان DeFi الحديثة مجالات متعددة مثل الرياضيات، التشفير، والاقتصاد، والاعتماد فقط على تدقيق الشيفرة ليس كافيًا.
هذا يعكس الثغرات الأمنية النظامية الشائعة في صناعة DeFi: تفتقر الفرق التقنية عمومًا إلى الوعي الأساسي بمخاطر التمويل.
في المستقبل، تحتاج مشاريع DeFi إلى تغيير قيود التفكير الفني البحت، وتطوير الوعي بالأمان لدى "مهندسي التمويل" الحقيقيين. يمكن أن تشمل التدابير المحددة: استقدام خبراء إدارة المخاطر المالية، لسد الفجوات المعرفية في الفريق الفني؛ إنشاء آلية مراجعة تدقيق متعددة الأطراف، تشمل تدقيق الشيفرة والنماذج الاقتصادية؛ تطوير "حاسة التمويل"، ومحاكاة سيناريوهات الهجوم المختلفة ووضع تدابير للتعامل معها.
مع نضوج الصناعة بشكل متزايد، ستقل الثغرات التقنية على مستوى الكود تدريجياً، ولكن ستصبح "ثغرات الوعي" الناتجة عن عدم وضوح الحدود والمهام أكبر التحديات. يمكن لشركات التدقيق ضمان عدم وجود ثغرات في الكود، لكن كيفية تحقيق "وجود حدود للمنطق" تتطلب من فرق المشروع أن تتمتع بفهم أعمق وقدرة على السيطرة على جوهر الأعمال.
مستقبل DeFi ينتمي إلى الفرق التي لا تتمتع فقط بتقنية كود قوية، ولكن أيضًا بفهم عميق للمنطق التجاري. فقط من خلال إتقان المعرفة عبر المجالات يمكن أن تظل في وضع غير قابل للهزيمة في هذه الصناعة سريعة التطور.