Cetus Protocol recientemente publicó un informe de revisión de seguridad sobre el ataque de un Hacker, lo que ha generado una amplia atención en la industria. El informe detalla los aspectos técnicos y las medidas de respuesta de emergencia, siendo un nivel de libro de texto. Sin embargo, al explicar las causas del ataque, el informe parece eludir los puntos críticos, dirigiendo la atención hacia la responsabilidad externa.
El informe explica en detalle la verificación de errores de la función checked_shlw de la biblioteca integer-mate, calificándola como "malentendido semántico". Aunque esta descripción es técnicamente válida, elude hábilmente la responsabilidad de Cetus.
Un análisis profundo revela que el éxito de un ataque de Hacker requiere cumplir simultáneamente con cuatro condiciones: una verificación de desbordamiento incorrecta, operaciones de desplazamiento masivo, reglas de redondeo hacia arriba y falta de verificación de razonabilidad económica. Cetus presenta descuidos evidentes en cada una de las condiciones desencadenantes, como aceptar entradas astronómicas, realizar operaciones de desplazamiento masivo peligrosas, confiar completamente en las verificaciones de bibliotecas externas, y lo más fatal es que al calcular resultados irracionales, no se realiza ninguna verificación de sentido económico antes de ejecutar directamente.
Esto expone problemas graves del equipo de Cetus en los siguientes aspectos:
Falta de conciencia sobre la seguridad de la cadena de suministro. Aunque se utilizan bibliotecas populares de código abierto, no se comprenden plenamente sus límites de seguridad y riesgos potenciales.
Falta de talento en gestión de riesgos con intuición financiera. Permitir la entrada de cifras astronómicas irracionales muestra una falta de comprensión del equipo sobre los límites del sistema financiero.
La dependencia excesiva de las auditorías de seguridad ha pasado por alto la importancia de la validación en las fronteras interdisciplinarias. La seguridad moderna de DeFi involucra múltiples campos como las matemáticas, la criptografía y la economía, simplemente confiar en la auditoría de código no es suficiente.
Esto refleja una deficiencia sistémica de seguridad que existe en la industria DeFi: los equipos técnicos generalmente carecen de una conciencia básica sobre los riesgos financieros.
En el futuro, los proyectos DeFi necesitarán superar las limitaciones del pensamiento puramente técnico y cultivar una verdadera conciencia de seguridad entre los "ingenieros financieros". Las medidas específicas pueden incluir: la incorporación de expertos en gestión de riesgos financieros para cubrir las lagunas de conocimiento del equipo técnico; establecer un mecanismo de auditoría múltiple que incluya auditorías de código y modelos económicos; y desarrollar un "olfato financiero", simulando diversos escenarios de ataque y formulando medidas de respuesta.
A medida que la industria madura, las vulnerabilidades técnicas a nivel de código irán disminuyendo, mientras que las "vulnerabilidades de conciencia" en la lógica de negocio, que son difusas y tienen responsabilidades poco claras, se convertirán en el mayor desafío. Las empresas de auditoría solo pueden garantizar que el código está libre de vulnerabilidades, pero cómo lograr que la "lógica tenga límites" requiere que el equipo del proyecto tenga una comprensión y capacidad de control más profunda sobre la esencia del negocio.
El futuro de DeFi pertenece a aquellos equipos que no solo tienen habilidades técnicas sólidas en código, sino que también comprenden profundamente la lógica del negocio. Solo dominando verdaderamente el conocimiento interdisciplinario se puede permanecer invicto en esta industria de rápido desarrollo.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
9 me gusta
Recompensa
9
5
Compartir
Comentar
0/400
GateUser-beba108d
· 07-21 09:39
Otra vez es un auditor.
Ver originalesResponder0
GasWrangler
· 07-21 09:33
técnicamente hablando, las auditorías de seguridad amateur son subóptimas
Ver originalesResponder0
MidnightSeller
· 07-21 09:19
Si no tienes habilidades fundamentales, no juegues a DeFi.
Ver originalesResponder0
GateUser-75ee51e7
· 07-21 09:18
¿Con esta conciencia de seguridad, aún se dedican a las finanzas?
Ver originalesResponder0
TokenUnlocker
· 07-21 09:15
¿Quién se hace responsable de la compensación por hablar tanto?
Análisis del ataque del hacker de Cetus: revela las debilidades sistémicas de seguridad en la industria DeFi
Cetus Protocol recientemente publicó un informe de revisión de seguridad sobre el ataque de un Hacker, lo que ha generado una amplia atención en la industria. El informe detalla los aspectos técnicos y las medidas de respuesta de emergencia, siendo un nivel de libro de texto. Sin embargo, al explicar las causas del ataque, el informe parece eludir los puntos críticos, dirigiendo la atención hacia la responsabilidad externa.
El informe explica en detalle la verificación de errores de la función checked_shlw de la biblioteca integer-mate, calificándola como "malentendido semántico". Aunque esta descripción es técnicamente válida, elude hábilmente la responsabilidad de Cetus.
Un análisis profundo revela que el éxito de un ataque de Hacker requiere cumplir simultáneamente con cuatro condiciones: una verificación de desbordamiento incorrecta, operaciones de desplazamiento masivo, reglas de redondeo hacia arriba y falta de verificación de razonabilidad económica. Cetus presenta descuidos evidentes en cada una de las condiciones desencadenantes, como aceptar entradas astronómicas, realizar operaciones de desplazamiento masivo peligrosas, confiar completamente en las verificaciones de bibliotecas externas, y lo más fatal es que al calcular resultados irracionales, no se realiza ninguna verificación de sentido económico antes de ejecutar directamente.
Esto expone problemas graves del equipo de Cetus en los siguientes aspectos:
Falta de conciencia sobre la seguridad de la cadena de suministro. Aunque se utilizan bibliotecas populares de código abierto, no se comprenden plenamente sus límites de seguridad y riesgos potenciales.
Falta de talento en gestión de riesgos con intuición financiera. Permitir la entrada de cifras astronómicas irracionales muestra una falta de comprensión del equipo sobre los límites del sistema financiero.
La dependencia excesiva de las auditorías de seguridad ha pasado por alto la importancia de la validación en las fronteras interdisciplinarias. La seguridad moderna de DeFi involucra múltiples campos como las matemáticas, la criptografía y la economía, simplemente confiar en la auditoría de código no es suficiente.
Esto refleja una deficiencia sistémica de seguridad que existe en la industria DeFi: los equipos técnicos generalmente carecen de una conciencia básica sobre los riesgos financieros.
En el futuro, los proyectos DeFi necesitarán superar las limitaciones del pensamiento puramente técnico y cultivar una verdadera conciencia de seguridad entre los "ingenieros financieros". Las medidas específicas pueden incluir: la incorporación de expertos en gestión de riesgos financieros para cubrir las lagunas de conocimiento del equipo técnico; establecer un mecanismo de auditoría múltiple que incluya auditorías de código y modelos económicos; y desarrollar un "olfato financiero", simulando diversos escenarios de ataque y formulando medidas de respuesta.
A medida que la industria madura, las vulnerabilidades técnicas a nivel de código irán disminuyendo, mientras que las "vulnerabilidades de conciencia" en la lógica de negocio, que son difusas y tienen responsabilidades poco claras, se convertirán en el mayor desafío. Las empresas de auditoría solo pueden garantizar que el código está libre de vulnerabilidades, pero cómo lograr que la "lógica tenga límites" requiere que el equipo del proyecto tenga una comprensión y capacidad de control más profunda sobre la esencia del negocio.
El futuro de DeFi pertenece a aquellos equipos que no solo tienen habilidades técnicas sólidas en código, sino que también comprenden profundamente la lógica del negocio. Solo dominando verdaderamente el conocimiento interdisciplinario se puede permanecer invicto en esta industria de rápido desarrollo.