Cetus Protocol недавно выпустил отчет о безопасности после хакерской атаки, что вызвало широкое следование в отрасли. В отчете подробно раскрыты технические детали и меры реагирования, что можно считать учебным пособием. Однако, объясняя причины атаки, отчет, похоже, избегает главного, сосредотачивая внимание на внешней ответственности.
Отчет акцентирует внимание на ошибке проверки функции checked_shlw библиотеки integer-mate, квалифицируя ее как "семантическое недоразумение". Хотя это утверждение технически верно, оно ловко уклоняется от ответственности самой Cetus.
Глубокий анализ показывает, что успех атаки Хакера требует одновременного выполнения четырех условий: ошибки в проверке переполнения, значительные побитовые сдвиги, правила округления вверх и отсутствие проверки экономической целесообразности. Cetus явно пренебрегает каждым из условий, например, принимая астрономические входные данные, используя опасные значительные побитовые сдвиги и полностью доверяя проверкам внешних библиотек; наиболее фатально то, что система не проводит никакой проверки экономической логики, прежде чем сразу выполнять неразумный результат.
Это выявляет серьезные проблемы в команде Cetus в следующем:
Недостаток осознания безопасности цепочки поставок. Хотя используются популярные библиотеки с открытым исходным кодом, не было полностью понято их границы безопасности и потенциальные риски.
Недостаток кадров в области управления рисками с финансовой интуицией. Позволение ввода неразумных астрономических чисел показывает, что команда недостаточно осознает границы финансовой системы.
Чрезмерная зависимость от аудита безопасности игнорирует важность междисциплинарной проверки. Современная безопасность DeFi охватывает несколько областей, таких как математика, криптография и экономика, простого аудита кода недостаточно.
Это отражает системные недостатки безопасности, которые широко распространены в индустрии DeFi: технические команды обычно страдают от недостатка базового финансового риска.
В будущем проектам DeFi необходимо изменить ограничения чисто технического мышления и развивать истинное сознание безопасности у "финансовых инженеров". Конкретные меры могут включать: привлечение экспертов по финансовым рискам для восполнения пробелов в знаниях технической команды; создание многоуровенной системы аудита и проверки, охватывающей аудит кода и экономических моделей; развитие "финансового чутья", моделирование различных сценариев атак и разработка мер реагирования.
С развитием отрасли и её зрелостью технические уязвимости на уровне кода будут постепенно уменьшаться, тогда как "логические уязвимости" с неясными границами и размытыми обязанностями станут главной проблемой. Аудиторские компании могут гарантировать отсутствие уязвимостей в коде, но для того чтобы достичь "логических границ", проектным командам необходимо иметь более глубокое понимание и контроль над сущностью бизнеса.
Будущее DeFi принадлежит тем командам, которые не только обладают твердыми навыками программирования, но и глубоко понимают бизнес-логику. Только действительно овладев междисциплинарными знаниями, можно оставаться непобежденным в этой быстро развивающейся отрасли.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
9 Лайков
Награда
9
5
Поделиться
комментарий
0/400
GateUser-beba108d
· 07-21 09:39
Это снова зависит от аудита
Посмотреть ОригиналОтветить0
GasWrangler
· 07-21 09:33
технически говоря, любительские сек-аудиты являются субоптимальными
Посмотреть ОригиналОтветить0
MidnightSeller
· 07-21 09:19
Если у вас нет основных навыков, не играйте в DeFi.
Посмотреть ОригиналОтветить0
GateUser-75ee51e7
· 07-21 09:18
С таким уровнем осознания безопасности еще заниматься финансами?
Cetus Хакерская атака: анализ и выявление системных недостатков безопасности в Децентрализованных финансах
Cetus Protocol недавно выпустил отчет о безопасности после хакерской атаки, что вызвало широкое следование в отрасли. В отчете подробно раскрыты технические детали и меры реагирования, что можно считать учебным пособием. Однако, объясняя причины атаки, отчет, похоже, избегает главного, сосредотачивая внимание на внешней ответственности.
Отчет акцентирует внимание на ошибке проверки функции checked_shlw библиотеки integer-mate, квалифицируя ее как "семантическое недоразумение". Хотя это утверждение технически верно, оно ловко уклоняется от ответственности самой Cetus.
Глубокий анализ показывает, что успех атаки Хакера требует одновременного выполнения четырех условий: ошибки в проверке переполнения, значительные побитовые сдвиги, правила округления вверх и отсутствие проверки экономической целесообразности. Cetus явно пренебрегает каждым из условий, например, принимая астрономические входные данные, используя опасные значительные побитовые сдвиги и полностью доверяя проверкам внешних библиотек; наиболее фатально то, что система не проводит никакой проверки экономической логики, прежде чем сразу выполнять неразумный результат.
Это выявляет серьезные проблемы в команде Cetus в следующем:
Недостаток осознания безопасности цепочки поставок. Хотя используются популярные библиотеки с открытым исходным кодом, не было полностью понято их границы безопасности и потенциальные риски.
Недостаток кадров в области управления рисками с финансовой интуицией. Позволение ввода неразумных астрономических чисел показывает, что команда недостаточно осознает границы финансовой системы.
Чрезмерная зависимость от аудита безопасности игнорирует важность междисциплинарной проверки. Современная безопасность DeFi охватывает несколько областей, таких как математика, криптография и экономика, простого аудита кода недостаточно.
Это отражает системные недостатки безопасности, которые широко распространены в индустрии DeFi: технические команды обычно страдают от недостатка базового финансового риска.
В будущем проектам DeFi необходимо изменить ограничения чисто технического мышления и развивать истинное сознание безопасности у "финансовых инженеров". Конкретные меры могут включать: привлечение экспертов по финансовым рискам для восполнения пробелов в знаниях технической команды; создание многоуровенной системы аудита и проверки, охватывающей аудит кода и экономических моделей; развитие "финансового чутья", моделирование различных сценариев атак и разработка мер реагирования.
С развитием отрасли и её зрелостью технические уязвимости на уровне кода будут постепенно уменьшаться, тогда как "логические уязвимости" с неясными границами и размытыми обязанностями станут главной проблемой. Аудиторские компании могут гарантировать отсутствие уязвимостей в коде, но для того чтобы достичь "логических границ", проектным командам необходимо иметь более глубокое понимание и контроль над сущностью бизнеса.
Будущее DeFi принадлежит тем командам, которые не только обладают твердыми навыками программирования, но и глубоко понимают бизнес-логику. Только действительно овладев междисциплинарными знаниями, можно оставаться непобежденным в этой быстро развивающейся отрасли.