Cetus Protocol baru-baru ini merilis laporan analisis keamanan atas serangan hacker, yang memicu perhatian luas di industri. Laporan tersebut mengungkapkan secara rinci rincian teknis dan langkah-langkah respons darurat, bisa dibilang setingkat buku teks. Namun, saat menjelaskan penyebab serangan, laporan tersebut tampaknya menghindari inti masalah, dan mengalihkan fokus pada tanggung jawab eksternal.
Laporan tersebut secara khusus menjelaskan fungsi checked_shlw dari pustaka integer-mate yang memeriksa kesalahan, mengklasifikasikannya sebagai "kesalahpahaman semantik". Meskipun narasi ini secara teknis sah, namun dengan cerdik menghindari tanggung jawab Cetus sendiri.
Analisis mendalam menunjukkan bahwa keberhasilan serangan Hacker memerlukan pemenuhan empat kondisi secara bersamaan: pemeriksaan overflow yang salah, operasi pergeseran yang besar, aturan pembulatan ke atas, dan kurangnya verifikasi rasionalitas ekonomi. Cetus memiliki kelalaian yang jelas pada setiap kondisi pemicu, seperti menerima input angka astronomis, menggunakan operasi pergeseran besar yang berbahaya, dan sepenuhnya mempercayai pemeriksaan pustaka eksternal; yang paling fatal adalah tidak melakukan pemeriksaan pengetahuan ekonomi ketika sistem menghitung hasil yang tidak rasional dan langsung melaksanakannya.
Ini mengungkapkan masalah serius yang dimiliki tim Cetus dalam hal berikut:
Kurangnya kesadaran akan perlindungan keamanan rantai pasokan. Meskipun menggunakan pustaka sumber terbuka yang populer, tetapi belum sepenuhnya memahami batasan keamanan dan risiko potensialnya.
Kekurangan tenaga manajemen risiko yang memiliki intuisi finansial. Memungkinkan input angka astronomi yang tidak masuk akal, menunjukkan kurangnya pemahaman tim tentang batasan sistem keuangan.
Ketergantungan yang berlebihan pada audit keamanan mengabaikan pentingnya verifikasi lintas disiplin. Keamanan DeFi modern melibatkan banyak bidang seperti matematika, kriptografi, dan ekonomi, hanya mengandalkan audit kode jauh dari cukup.
Ini mencerminkan kelemahan keamanan sistemik yang umum di industri DeFi: tim teknis umumnya kurang memiliki kesadaran risiko keuangan yang dasar.
Di masa depan, proyek DeFi perlu mengubah batasan pemikiran murni teknis dan mengembangkan kesadaran keamanan "insinyur keuangan" yang sebenarnya. Langkah-langkah spesifik dapat mencakup: mengundang ahli manajemen risiko keuangan untuk mengisi kekurangan pengetahuan tim teknis; membangun mekanisme audit dan pemeriksaan multi-pihak yang mencakup audit kode dan model ekonomi; mengembangkan "indra keuangan", mensimulasikan berbagai skenario serangan dan merumuskan langkah-langkah respons.
Seiring dengan kematangan industri, celah teknis di tingkat kode akan semakin berkurang, sementara logika bisnis dengan "celah kesadaran" yang tidak jelas batasnya dan tanggung jawab yang kabur akan menjadi tantangan terbesar. Perusahaan audit hanya dapat memastikan bahwa kode bebas dari celah, tetapi bagaimana mewujudkan "logika yang memiliki batas" memerlukan tim proyek untuk memiliki pemahaman dan kemampuan pengendalian yang lebih mendalam tentang esensi bisnis.
Masa depan DeFi adalah milik tim yang tidak hanya memiliki keahlian teknis dalam kode, tetapi juga pemahaman yang mendalam tentang logika bisnis. Hanya dengan menguasai pengetahuan lintas bidang, kita dapat bertahan di industri yang berkembang pesat ini.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
9 Suka
Hadiah
9
5
Bagikan
Komentar
0/400
GateUser-beba108d
· 07-21 09:39
Ini adalah satu lagi yang bergantung pada audit
Lihat AsliBalas0
GasWrangler
· 07-21 09:33
sec audit amatir secara teknis adalah sub-optimal
Lihat AsliBalas0
MidnightSeller
· 07-21 09:19
Jangan bermain DeFi jika tidak memiliki kemampuan inti.
Lihat AsliBalas0
GateUser-75ee51e7
· 07-21 09:18
Dengan kesadaran keamanan seperti ini, masih mau berurusan dengan keuangan?
Lihat AsliBalas0
TokenUnlocker
· 07-21 09:15
Siapa yang bertanggung jawab untuk kompensasi setelah berbicara begitu banyak?
Cetus Hacker menyerang ulasan Mengungkap kekurangan keamanan sistemik di industri Keuangan Desentralisasi
Cetus Protocol baru-baru ini merilis laporan analisis keamanan atas serangan hacker, yang memicu perhatian luas di industri. Laporan tersebut mengungkapkan secara rinci rincian teknis dan langkah-langkah respons darurat, bisa dibilang setingkat buku teks. Namun, saat menjelaskan penyebab serangan, laporan tersebut tampaknya menghindari inti masalah, dan mengalihkan fokus pada tanggung jawab eksternal.
Laporan tersebut secara khusus menjelaskan fungsi checked_shlw dari pustaka integer-mate yang memeriksa kesalahan, mengklasifikasikannya sebagai "kesalahpahaman semantik". Meskipun narasi ini secara teknis sah, namun dengan cerdik menghindari tanggung jawab Cetus sendiri.
Analisis mendalam menunjukkan bahwa keberhasilan serangan Hacker memerlukan pemenuhan empat kondisi secara bersamaan: pemeriksaan overflow yang salah, operasi pergeseran yang besar, aturan pembulatan ke atas, dan kurangnya verifikasi rasionalitas ekonomi. Cetus memiliki kelalaian yang jelas pada setiap kondisi pemicu, seperti menerima input angka astronomis, menggunakan operasi pergeseran besar yang berbahaya, dan sepenuhnya mempercayai pemeriksaan pustaka eksternal; yang paling fatal adalah tidak melakukan pemeriksaan pengetahuan ekonomi ketika sistem menghitung hasil yang tidak rasional dan langsung melaksanakannya.
Ini mengungkapkan masalah serius yang dimiliki tim Cetus dalam hal berikut:
Kurangnya kesadaran akan perlindungan keamanan rantai pasokan. Meskipun menggunakan pustaka sumber terbuka yang populer, tetapi belum sepenuhnya memahami batasan keamanan dan risiko potensialnya.
Kekurangan tenaga manajemen risiko yang memiliki intuisi finansial. Memungkinkan input angka astronomi yang tidak masuk akal, menunjukkan kurangnya pemahaman tim tentang batasan sistem keuangan.
Ketergantungan yang berlebihan pada audit keamanan mengabaikan pentingnya verifikasi lintas disiplin. Keamanan DeFi modern melibatkan banyak bidang seperti matematika, kriptografi, dan ekonomi, hanya mengandalkan audit kode jauh dari cukup.
Ini mencerminkan kelemahan keamanan sistemik yang umum di industri DeFi: tim teknis umumnya kurang memiliki kesadaran risiko keuangan yang dasar.
Di masa depan, proyek DeFi perlu mengubah batasan pemikiran murni teknis dan mengembangkan kesadaran keamanan "insinyur keuangan" yang sebenarnya. Langkah-langkah spesifik dapat mencakup: mengundang ahli manajemen risiko keuangan untuk mengisi kekurangan pengetahuan tim teknis; membangun mekanisme audit dan pemeriksaan multi-pihak yang mencakup audit kode dan model ekonomi; mengembangkan "indra keuangan", mensimulasikan berbagai skenario serangan dan merumuskan langkah-langkah respons.
Seiring dengan kematangan industri, celah teknis di tingkat kode akan semakin berkurang, sementara logika bisnis dengan "celah kesadaran" yang tidak jelas batasnya dan tanggung jawab yang kabur akan menjadi tantangan terbesar. Perusahaan audit hanya dapat memastikan bahwa kode bebas dari celah, tetapi bagaimana mewujudkan "logika yang memiliki batas" memerlukan tim proyek untuk memiliki pemahaman dan kemampuan pengendalian yang lebih mendalam tentang esensi bisnis.
Masa depan DeFi adalah milik tim yang tidak hanya memiliki keahlian teknis dalam kode, tetapi juga pemahaman yang mendalam tentang logika bisnis. Hanya dengan menguasai pengetahuan lintas bidang, kita dapat bertahan di industri yang berkembang pesat ini.